Мінімум 76 популярних iOS додатків неправильно використовують TLS та вразливі для MitM-атак
Xakep #239. Розкрити та вивчити
Фахівці Sudo Security Group створили сервіс verify.ly, призначений для пошуку проблем безпеки в iOS-додатках. У зв'язку зі створенням verify.ly, дослідникам було цікаво зрозуміти, яким саме проблемам мобільні додатки схильні найчастіше. У результаті автоматичний аналіз популярних рішень Apple App Store виявив дуже сумну картину.
Дослідники пишуть, що їм вдалося виявити 76 iOS-додатків, в яких кульгає імплементація TLS, а значить вони вразливі для атак man-in-the-middle і допускають витоку TLS-трафіку. Сумарно вразливі програми були завантажені понад 18 млн. разів. При цьому всі вони були створені з урахуванням стандарту Apple ATS (App Transport Security), який має на увазі, що програма повинна повідомлятися з серверами розробників лише за допомогою HTTPS, особливо якщо йдеться про передачу конфіденційних даних. Але для ATS досить просто наявності TLS, а всі інші перевірки лягають на додаток.
Фахівці пояснюють, що розробники додатків не змогли правильно реалізувати валідацію сертифікатів і certificate pinning. Програми без проблем приймають самопідписані сертифікати, це великий ризик.
У звіті дослідники розкривають назви лише тих додатків, які становлять найменшу загрозу для користувачів та даних. Інші назви не розголошуються з міркувань безпеки. Аналітики вже зв'язалися з розробниками вразливих продуктів та повідомили їх про проблеми. Також фахівці вкотре нагадали користувачам, що довіряти публічним точкам доступу в інтернет не варто, саме через них найлегше реалізувати mitm-атаку.