Il bug con un certificato del server può paralizzare la sicurezza di 25.000 apps iOS tramite man-in-the-middle (MITM) e l’accesso in formato testo alle informazioni crittografate inviate dal dispositivo client.
n
La vulnerabilità è presente in AFNetworking, una repository popolare di networking per dispositivi iOS e OS X, e consiste in una falla nello strumento per verificare il nome di dominio del certificato SSL.
n
Ogni certificato SSL può essere utilizzato per decifrare i dati
n
La funzione esiste nel prodotto, ma è disattivata di default in tutte le versioni AFNetworking precedenti della 2.5.3, che è stato pubblicata Venerdì.
n
“Ciò significa che un hacker potrebbe intercettare dati privati o prendere il controllo di una sessione SSL tra l’applicazione e Internet. Perché il nome di dominio non è stato controllato, tutto quello che serve è un certificato SSL valido per qualsiasi server web, ovvero qualcosa che si può acquistare per $ 50 [45 €], ” riferisce SourceDNA , una società che fornisce servizi di analisi del codice, dal punto di vista della sicurezza informatica.
n
Il ricercatore accreditato per la scoperta del difetto è Ivan Leichtling di Yelp. Ironia della sorte, manutentori di AFNetworking avevano risolto il problema prima del rilascio precedente (2.5.2), che è destinato a riparare un’altra vulnerabilità SSL, ma in qualche modo questa falla non è stata inclusa.
n
Ciò che è stato eliminato in AFNetworking 2.5.2 era una mancanza di convalida dei certificati SSL , consentendo un hacker, con un certificato auto-firmato, di intercettare il traffico crittografato da applicazioni vulnerabili per visualizzare le informazioni sensibili inviate al server.
n
Dopo la scansione per il codice vulnerabile presenti in applicazioni iOS, SourceDNA ha rilevato che dopo che il difetto è stato patchato c’erano un sacco di sviluppatori che non hanno aggiornato i loro prodotti, lasciando i propri utenti esposti alla falla.
n