Най-малко 76 популярни приложения за iOS злоупотребяват с TLS и са уязвими към MitM атаки
Xakep # 239. Отворете и разгледайте
Sudo Security Group създаде услуга, наречена verify.ly, предназначена да намери проблеми със сигурността в приложенията на iOS. Във връзка със създаването на verify.ly, изследователите се интересуваха от това кои точно проблеми най-вероятно ще страдат мобилните приложения. В резултат на това автоматичният анализ на популярни решения от Apple App Store разкри много тъжна картина.
Изследователите пишат, че са успели да намерят 76 iOS приложения, в които внедряването на TLS куца, което означава, че те са уязвими на атаки човек в средата и позволяват изтичане на трафик на TLS. Като цяло уязвимите приложения са изтеглени над 18 милиона пъти. В същото време всички те са създадени, като се вземе предвид стандарта Apple ATS (App Transport Security), което предполага, че приложението трябва да комуникира със сървърите на разработчиците само чрез HTTPS, особено когато става въпрос за прехвърляне на поверителни данни. Но за ATS е достатъчно само да има TLS, а всички други проверки попадат върху приложението.