Το AFNetworking είναι μια δημοφιλής, ανοιχτού κώδικα βιβλιοθήκη που επιτρέπει σε developers να προσθέσουν ιδιότητες networking στα iOS και OS X προϊόντα τους. Ωστόσο, αποτυγχάνει να ελέγξει το όνομα χώρου για το οποίο το πιστοποιητικό SSL έχει χορηγηθεί.
Οποιαδήποτε εφαρμογή Apple iOS που χρησιμοποιεί εκδόσεις του AFNetworking νεότερες της 2.5.3 κινδυνεύει από επιθέσεις hackers, οι οποίοι επιδιώκουν να υποκλέψουν δεδομένα χρηστών, ακόμα βέβαια κι αν η εφαρμογή προστατεύεται από το πρωτόκολλο SSL (secure sockets layer).
Αποκρυπτογράφηση δεδομένων χρηστών με χρήση οποιουδήποτε πιστοποιητικού SSL
Ένας επιτιθέμενος θα μπορούσε να χρησιμοποιήσει ένα έγκυρο SSL πιστοποιητικό για οποιοδήποτε όνομα χώρου ώστε να εκμεταλλευτεί τη συγκεκριμένη ευπάθεια, με την προϋπόθεση ότι το πιστοποιητικό έχει χορηγηθεί από μια Αρχή Πιστοποίησης (Certificate Authority – CA) – κάτι που μπορεί να αγοράσει κάποιος με μόλις 50 ευρώ.
Πρακτικά δηλαδή, κάποιος hacker σε μια καφετέρια θα μπορούσε να υποκλέψει δεδομένα χρηστών, οι οποίοι έχουν συνδεθεί στο ίδιο ελεύθερο Wi-Fi δίκτυο, ακόμα και μέσω ενός SSL session. Θα μπορούσε να προσποιηθεί ότι είναι το «facebook.com», αρκεί να παρουσιάσει ένα έγκυρο πιστοποιητικό για το «cybersecurity.gr».
Την ευπάθεια, που φαίνεται ότι επηρεάζει πάνω από 25.000 εφαρμογές για iOS, ανακάλυψε και ανέφερε ο ερευνητής Ivan Leichtling από το Yelp. Η ευπάθεια διορθώθηκε στην έκδοση 2.5.3 του AFNetworking.
Πώς να προστατευθείτε;
Η λίστα των προβληματικών εφαρμογών στο iOS δεν έχει δοθεί στη δημοσιότητα (για να μην τις εκμεταλλευτούν οι κυβερνοεγκληματίες).
Για να διασφαλίσετε την προστασία των εφαρμογών σας, οι developers, το cybersecurity.gr συνιστά την άμεση αναβάθμιση στην έκδοση 2.5.3 του AFNetworking, ώστε να ενεργοποιηθεί η επικύρωση του ονόματος χώρου ως προεπιλογή.
Τέλος, οι χρήστες των προβληματικών εφαρμογών για iOS οφείλουν να ελέγξουν αμέσως την κατάσταση των εφαρμογών τους, ιδιαίτερα εκείνων που έχουν πρόσβαση σε οικονομικής φύσεως δεδομένα και προσωπικές πληροφορίες. Συνίσταται δε η αποφυγή χρήσης τους, έως ότου οι developers προχωρήσουν στο απαραίτητο update.
Πηγή:cybersecurity.gr