1,000個のiOSアプリでSSLのバグが発生：影響を受けているかどうかを確認する方法

AndroidおよびiOSアプリを監査するコード分析プラットフォームであるSourceDNAは最近、1,000を超えるiOSアプリに、ユーザーの財務詳細を危険にさらす可能性のある深刻なセキュリティの脆弱性があることを示すレポートをリリースしました。

このバグにより、アプリがSSL証明書を正しく認証できなくなり、アプリが中間者攻撃にさらされる可能性があります。このアプリはiOS自体のセキュリティには影響しませんが、影響を受けるアプリを介して送信されるユーザーデータを危険にさらす可能性があります...

SSLを壊す単純なバグ

1,000個のiOSアプリでSSLのバグが発生：影響を受けているかどうかを確認する方法

問題のバグは、何千ものAppStoreアプリで使用されている人気のあるオープンソースネットワークソリューションであるAFNetworkingパッケージにあります。このバグは、SSLチェックが実際に行われるのを停止し、すべての証明書チェックを有効として返す単純な論理エラーです。これは、HeartBleedやShellShockのような大規模なセキュリティ災害ではありませんが、バグを含むアプリを使用する場合は問題になります。幸い、バグは約6週間しか存在せず、2.5.1で追加され、2.5.2で修正されました。これで話は終わりだと合理的に考えるかもしれません。

残念ながら、違います。

残念ながら、多くの開発者はバグ修正でアプリを積極的に最新の状態に保っていません。パッチが利用可能であるにもかかわらず、壊れたバージョンのAFNetworkingをまだ使用しているアプリがたくさんあります。 SourceDNAは、AFNetworkingパッケージのバージョンを含む20,000個のアプリを分析し、約1,000個がまだ壊れたSSLチェックを使用していると判断しました。

SourceDNAは、数千のアプリのバイナリファイルを分析できる分析ツールを使用して、このチェックを実行できました。彼らのテクノロジーにより、これらのアプリがコンパイルされたライブラリだけでなく、バージョンも特定できます。それらのライブラリの。結局のところ、これは、既知のバグや脆弱性の影響を受ける可能性のあるアプリを特定するのに非常に役立ちます。発表された論文によると、

「SourceDNAは、脆弱なコードを見つけるためにそれらから差分フィンガープリントを作成しました。これは、ターゲットバージョンにのみ存在または存在せず、その前後の他のバージョンには存在しない、または存在しない一連の固有の特性と考えてください。この一連のシグネチャを使用して、分析を行います。エンジンは、各アプリで使用されているAFNetworkingのバージョンを正確に教えてくれます。」

影響を受けるアプリの多くは、Alibaba.comモバイルアプリ、KYBankAgent 3.0、Revo Restaurant POSなど、ユーザーのクレジットカードデータを保存および送信します。数百万人のユーザーがiOSデバイスに脆弱なアプリをインストールしています。これは、このような短いバグによる驚くべき量の露出です。

「5％または約1,000個のアプリに欠陥がありました。これらのアプリは重要ですか？ランクデータと比較したところ、Yahoo！、Microsoft、Uber、Citrixなどの大手企業が見つかりました。オープンソースライブラリがわずか6週間でセキュリティ上の欠陥が発生しました数百万 攻撃するユーザーの数。」

AFNetworkingバグの影響の評価

この脆弱性はどれほど悪いですか？このバグにより、攻撃者はアプリをだまして、信頼できるサーバーとの安全な接続を介して通信していると思い込ませることができます。脆弱なアプリを使用している場合は、同じWiFiネットワーク上の誰でも中間者攻撃を設定し、クレジットカード情報などの機密データを含むアプリからの情報を傍受できます。この情報は、個人情報の盗難やその他の形態の詐欺を助長するために使用される可能性があります。この種の攻撃は、人気のあるアプリを標的にするように自動化される可能性があります。

ニュースが報じられて以来、MicrosoftやYahooなど、多くの企業が更新や修正を急いで行っています。ただし、ほとんどのアプリはパッチが適用されていません。使用しているアプリが影響を受けるかどうかを確認するには、SourceDNA検索ツールを使用できます。アプリの1つがまだ脆弱であることがわかった場合、最も安全な戦略は、アプリを一時的に削除し、開発者にメッセージを送信して、できるだけ早くパッチを公開するように依頼することです。

SourceDNAは巧妙なツールであり、これは彼らの技術が本当に有用であることを示しています。コンピューターのセキュリティは厳しく、パッチが適用されていないバグを探すプロセスを自動化できるツールは、開発者の協力の有無にかかわらず、ユーザーのセキュリティにとって大きなメリットです。この種のチェックがなければ、この広範囲にわたるバグはおそらくかなり長い間持続していたでしょう。この種の分析により、開発者の説明責任を大幅に高める大衆の恥辱が可能になり、SourceDNAがさらに未検出および未解決の問題を明らかにする可能性があります。

iOSデバイスはAFNetworkingのバグの影響を受けますか？ これらの新しい分析ツールに興奮していますか？コメントで教えてください！

画像クレジット：「米海軍サイバー戦争」、「iPhoneフロント、「iPhoneカメラ」、ウィキメディアによる

App Storeは本当に安全ですか？スマートフォンマルウェアがどのように除外されるか

盗まれたハードウェアから泥棒が利益を得る5つの方法

Windows 10 PC で iOS アプリを実行する方法
この世界には、Windows PC を所有していて、iOS アプリも使いたいと思っている人がたくさんいます。もちろん、彼らには自分の欲求を正当化する十分な正当な理由があります。アプリにはかなりの数の優れた機能があり、使用するのが楽しいです.あなたもその一人である場合、まさにこの目的のために、かなりの数のシミュレーター、エミュレーター、および仮想クローンが存在します。邪魔にならないようになったので、それらを使用して Windows 10 PC で iOS アプリを実行する方法を確認しましょう。 Windows 10 PC で iOS アプリを実行する方法では、1 つの事実をお伝えしまし
iOS アプリで UISearchController を使用する方法
こんにちは、みんな！この記事では、iOS アプリで UISearchController を使用する方法を学びます。何を構築しますか? TMDB API を使用して映画情報を取得し、ユーザーの検索クエリに基づいて UICollectionView を使用して表示する映画検索アプリケーションを作成します。プロジェクトのセットアップ Xcode を開き、新しい空白の iOS アプリプロジェクトを作成します。SwiftUI ではなく、必ず UIKit を選択してください。このアプリでは MVC パターンを使用するため、次のグループと Swift ファイルを作成してプロジェクトを編成し