Iklan

SourceDNA, platform analitik kode yang mengaudit aplikasi Android dan iOS, baru-baru ini merilis laporan yang mengindikasikan bahwa lebih dari 1.000 aplikasi iOS memiliki kerentanan keamanan serius yang dapat membahayakan keuangan pengguna detail.

Bug mencegah aplikasi untuk mengautentikasi dengan benar Sertifikat SSL Apa itu Sertifikat SSL, dan Apakah Anda Membutuhkannya?Menjelajahi Internet bisa menakutkan ketika informasi pribadi terlibat. Baca lebih banyak , membuka aplikasi hingga sejumlah serangan man-in-the-middle. Meskipun aplikasi ini tidak memengaruhi keamanan iOS itu sendiri Keamanan Smartphone: Bisakah iPhone Mendapatkan Malware?Malware yang memengaruhi "ribuan" iPhone dapat mencuri kredensial App Store, tetapi sebagian besar pengguna iOS sangat aman - jadi apa masalahnya dengan iOS dan perangkat lunak jahat? Baca lebih banyak , itu dapat membahayakan data pengguna yang dikirimkan melalui aplikasi yang terkena dampak ...

Bug Sederhana yang Memecah SSL

iphonefront

Itu bug yang dimaksud

instagram viewer
ada dalam paket AFNetworking, solusi jaringan sumber terbuka populer yang digunakan di ribuan aplikasi App Store. Bug adalah kesalahan logika sederhana yang menghentikan pemeriksaan SSL dari yang sebenarnya terjadi, mengembalikan semua cek sertifikat sebagai valid. Ini bukan bencana keamanan besar seperti HeartBleed Heartbleed - Apa yang Dapat Anda Lakukan Agar Tetap Aman? Baca lebih banyak atau ShellShock Lebih buruk daripada patah hati? Meet ShellShock: Ancaman Keamanan Baru Untuk OS X dan Linux Baca lebih banyak - tetapi masalah jika Anda menggunakan aplikasi yang berisi bug. Untungnya, bug ada hanya sekitar enam minggu, ditambahkan pada 2.5.1, dan diperbaiki pada 2.5.2. Anda mungkin beranggapan bahwa itu adalah akhir dari cerita.

Sayangnya tidak ada.

Sayangnya, banyak pengembang tidak aktif memperbarui aplikasi mereka dengan perbaikan bug, dan ada sekelompok aplikasi yang masih menggunakan versi AFNetworking yang rusak, meskipun ketersediaan a tambalan. SourceDNA menganalisis 20.000 aplikasi yang berisi versi paket AFNetworking, dan menetapkan bahwa sekitar 1.000 masih menggunakan cek SSL yang rusak.

iphoneback

SourceDNA dapat melakukan pemeriksaan ini dengan menggunakan alat analitik yang memungkinkan untuk menganalisis file biner dari ribuan aplikasi. Teknologi mereka memungkinkan mereka mengidentifikasi perpustakaan mana saja yang dikompilasi dengan aplikasi ini, tetapi juga perpustakaan mana versi perpustakaan tersebut. Ternyata, ini sangat berguna untuk mengidentifikasi aplikasi mana yang mungkin terkena bug dan kerentanan yang diketahui. Menurut kertas yang dirilis,

“SourceDNA membuat sidik jari diferensial dari mereka untuk menemukan kode yang rentan. Anggap ini sebagai serangkaian karakteristik unik yang ada atau tidak ada hanya dalam versi yang ditargetkan dan bukan yang lain sebelum atau sesudahnya. Dengan set tanda tangan ini, mesin analisis kami akan memberi tahu kami versi AFNetworking mana yang digunakan di setiap aplikasi.

Banyak aplikasi yang terpengaruh menyimpan dan mengirimkan data kartu kredit pengguna, termasuk itu Aplikasi seluler Alibaba.com, KYBankAgent 3.0, dan Tempat Penjualan Revo Restaurant. Beberapa juta pengguna memiliki aplikasi yang rentan diinstal pada perangkat iOS mereka - jumlah paparan yang luar biasa dari bug singkat tersebut.

“5% atau sekitar 1.000 aplikasi memiliki kekurangan. Apakah aplikasi ini penting? Kami membandingkannya dengan data peringkat kami dan menemukan beberapa pemain besar: Yahoo!, Microsoft, Uber, Citrix, dll. Ini mengherankan kami bahwa perpustakaan open-source yang memperkenalkan kelemahan keamanan hanya selama 6 minggu terekspos jutaan pengguna untuk menyerang. "

Menilai Dampak dari Bug AFNetworking

Seberapa burukkah kerentanan ini? Bug memungkinkan penyerang untuk menipu aplikasi agar berpikir bahwa mereka berkomunikasi melalui koneksi aman dengan server tepercaya. Jika Anda menggunakan aplikasi yang rentan, siapa pun di jaringan WiFi yang sama dengan yang Anda bisa atur a serangan man-in-the-middle Apa itu Serangan Manusia-di-Tengah? Jargon Keamanan DijelaskanJika Anda pernah mendengar tentang serangan "man-in-the-middle" tetapi tidak yakin apa artinya itu, ini adalah artikel untuk Anda. Baca lebih banyak dan mencegat info dari aplikasi, termasuk data sensitif seperti informasi kartu kredit. Informasi ini kemudian dapat digunakan untuk memfasilitasi pencurian identitas 6 Tanda Peringatan Pencurian Identitas Digital Anda Tidak Harus AbaikanPencurian identitas tidak terlalu jarang terjadi belakangan ini, namun kita sering jatuh ke dalam jebakan berpikir bahwa itu akan selalu terjadi pada "orang lain". Jangan abaikan tanda-tanda peringatan. Baca lebih banyak dan bentuk penipuan lainnya. Secara potensial, serangan semacam ini dapat diotomatisasi untuk menargetkan aplikasi populer.

081203-N-2147L-390

Sejumlah perusahaan telah meluncurkan pembaruan dan perbaikan sejak berita itu menyebar, termasuk Microsoft dan Yahoo. Namun, sebagian besar aplikasi tetap tidak ditonton. Untuk melihat apakah aplikasi yang Anda gunakan terpengaruh, Anda dapat menggunakan alat pencarian SourceDNA. Jika Anda menemukan bahwa salah satu aplikasi Anda masih rentan, strategi teraman adalah menghapusnya sementara, dan pesan pengembang meminta mereka untuk membuat patch sesegera mungkin.

SourceDNA adalah alat yang pintar, dan ini menunjukkan bahwa teknologi mereka benar-benar bermanfaat. Keamanan komputer itu sulit, dan alat yang dapat mengotomatisasi proses mencari bug yang tidak ditambal - dengan atau tanpa kerja sama pengembang - adalah kemenangan besar bagi keamanan pengguna. Tanpa pemeriksaan semacam ini, bug yang tersebar luas ini akan bertahan, mungkin untuk waktu yang cukup lama. Analisis semacam ini memungkinkan mempermalukan publik secara massal yang membuat pengembang jauh lebih akuntabel, dan nampaknya SourceDNA akan mengungkap lebih jauh masalah yang tidak terdeteksi dan tidak terpecahkan.

Apakah perangkat iOS Anda terpengaruh oleh bug AFNetworking? Apakah Anda senang dengan alat analisis baru ini? Beri tahu kami di komentar!

Kredit gambar: “Perang Dunia Maya Angkatan Laut AS, "" Bagian depan iPhone, "kamera iPhone“, Oleh Wikimedia

Seorang penulis dan jurnalis yang berbasis di Barat Daya, Andre dijamin tetap fungsional hingga 50 derajat Celcius, dan tahan air hingga kedalaman dua belas kaki.