Просканировав приложения в iOS App Store через двоичные коды, служба Уилла Страфача verify.ly обнаружила, что на данный момент 76 популярных приложений в магазине уязвимы для перехвата данных, пишет 9to5mac. Перехват возможен независимо от того, используют разработчики App Store функцию App Transport Security или нет. Несколько месяцев назад подобные уязвимости были обнаружены для приложений Experian и myFICO Mobile.
Служба Страфача сканирует приложения в iOS App Store на наличие уязвимостей, чтобы помочь разработчикам понять, как укрепить и защитить свой код. Сканы ищут закономерности в уязвимостях, а в худшем случае находят их повторно во многих приложениях. Сегодняшнее уведомление пугает не только потому, что приложения часто используются, но и потому, что уязвимые приложения были загружены более 18 млн раз.
В отчете Страфач рассортировал 76 приложений по категориям низкого, среднего и высокого риска. «Функция iOS App Transport Security не может и не помогает заблокировать эту уязвимость», — утверждает Страфач. Автоматическая испытательная система в iOS 9 была предназначена для улучшения безопасности и конфиденциальности пользователя, заставляя приложения использовать HTTPS. Apple изначально планировала встроить эту функцию для всех приложений с 1 января 2017 года, но потом снова отодвинула решение на неопределенный срок. Проблема заключается в неправильной конфигурации сетевого кода, в результате чего App Transport Security принимает подключения за допустимые соединения TLS, даже если они таковыми не являются.
У Apple нет никакой возможности это исправить, потому как если бы компания отменила функцию в попытке заблокировать эту проблему безопасности, это сделало бы некоторые приложения iOS более уязвимыми, поскольку они не смогли бы использовать прикрепление сертификата для подключения или доверять достоверным сертификатам, которые могут потребоваться для подключения к корпоративной сети внутри предприятия с помощью внутренней инфраструктуры открытых ключей. Таким образом, ответственность лежит исключительно на самих разработчиках приложений, которые должны гарантировать неуязвимость своих приложений.
Некоторые приложения из категории низкого риска: ooVoo, ViaVideo, Snap Upload для Snapchat, Uploader Free для Snapchat и Cheetah Browser. Неудивительно, что эта горстка приложений ориентирована на Snapchat — еще в марте прошлого года Страфач называл их небезопасными. Что касается категорий среднего и высокого риска, Страфач воздерживается от разглашения списка до тех пор, пока тщательно не обсудит все с разработчиками приложений.
Тем временем пользователи могут кое-что предпринять, чтобы защититься от этих проблем. Правильно настроенная виртуальная частная сеть поможет смягчить риск — и это то, что Apple должна была включить в iOS изначально. Если пользователь по какой-то причине откажется от виртуальной частной сети на своих устройствах, тогда Страфач рекомендует отключать свой Wi-Fi.