الإعلانات
صدر SourceDNA ، وهو نظام أساسي لتحليل التعليمات البرمجية يقوم بتدقيق تطبيقات Android و iOS ، مؤخرًا تقريرًا يشير إلى ذلك أن أكثر من 1000 تطبيق من تطبيقات iOS بها ثغرات أمنية خطيرة يمكن أن تهدد الوضع المالي للمستخدم تفاصيل.
يمنع الخطأ التطبيقات من المصادقة بشكل صحيح شهادات SSL ما هي شهادة SSL ، وهل تحتاجها؟قد يكون تصفح الإنترنت أمرًا مخيفًا عند تضمين معلومات شخصية. اقرأ أكثر ، وفتح التطبيقات لعدد من هجمات الرجل في الوسط. في حين أن هذا التطبيق لا يؤثر على أمن iOS نفسه أمان الهاتف الذكي: هل يمكن لأجهزة iPhone الحصول على برامج ضارة؟يمكن للبرامج الضارة التي تؤثر على "آلاف" أجهزة iPhone أن تسرق بيانات اعتماد App Store ، ولكن غالبية مستخدمي iOS آمنون تمامًا - فما هي المشكلة مع برامج iOS والبرامج الخادعة؟ اقرأ أكثر ، يمكن أن يضر ببيانات المستخدم المرسلة من خلال التطبيقات المتأثرة ...
خطأ بسيط يكسر SSL
ال خطأ في السؤال في حزمة AFNetworking ، وهو حل شبكي مفتوح المصدر شائع الاستخدام يستخدم في آلاف تطبيقات App Store. الخطأ عبارة عن خطأ منطقي بسيط يوقف التحقق من طبقة المقابس الآمنة (SSL) من الظهور بالفعل ، ويعيد جميع عمليات التحقق من الشهادة على أنها صالحة. هذه ليست كارثة أمنية ضخمة مثل
نزيف القلب Heartbleed - ما الذي يمكنك القيام به للبقاء في أمان؟ اقرأ أكثر أو إرتجاج دماغي أسوأ من هارتيرليد؟ تعرف على ShellShock: تهديد أمني جديد لنظام التشغيل OS X و Linux اقرأ أكثر - ولكنها مشكلة إذا كنت تستخدم تطبيقًا يحتوي على الخطأ. لحسن الحظ ، كان الخطأ موجودًا لمدة ستة أسابيع فقط ، تمت إضافته في 2.5.1 ، وتم إصلاحه في 2.5.2. قد تفترض بشكل معقول أن هذه هي نهاية القصة.للاسف لا.
للأسف ، لا يحافظ العديد من المطورين على تطبيقاتهم باستمرار مع إصلاح الأخطاء ، وهناك مجموعة من التطبيقات التي لا تزال تستخدم الإصدار المعطل من AFNetworking ، على الرغم من توفر رقعة قماشية. حلل SourceDNA 20000 تطبيق يحتوي على إصدارات من حزمة AFNetworking ، وقرر أن حوالي 1000 تطبيق لا يزالون يستخدمون فحص SSL المكسور.
تمكن SourceDNA من إجراء هذا الفحص باستخدام أدوات التحليلات التي تجعل من الممكن تحليل الملفات الثنائية لآلاف التطبيقات. تتيح لهم تقنيتهم تحديد ليس فقط المكتبات التي تم تجميع هذه التطبيقات معها ، ولكن أيضًا الإصدارات من تلك المكتبات. كما اتضح ، هذا مفيد بشكل لا يصدق لتحديد التطبيقات التي قد تتأثر بالأخطاء ونقاط الضعف المعروفة. وفقًا للصحيفة الصادرة ،
“أنشأت SourceDNA بصمة تفاضلية منهم للعثور على رمز الضعف. فكر في هذا كمجموعة من الخصائص الفريدة التي كانت موجودة أو غائبة فقط في النسخة المستهدفة وليس أي غيرها قبلها أو بعدها. مع هذه المجموعة من التوقيعات ، سيخبرنا محرك التحليل لدينا بالضبط عن إصدار AFNetworking المستخدم في كل تطبيق. “
تقوم العديد من التطبيقات المتأثرة بتخزين ونقل بيانات بطاقة ائتمان المستخدم ، بما في ذلك ال تطبيق Alibaba.com, KYBankAgent 3.0و مطعم ريفو نقاط البيع. لدى عدة ملايين من المستخدمين تطبيق ضعيف مثبت على أجهزتهم التي تعمل بنظام التشغيل iOS - وهو قدر مذهل من التعرض من هذا الخطأ القصير.
"5٪ أو حوالي 1000 تطبيق به عيب. هل هذه التطبيقات مهمة؟ لقد قمنا بمقارنتها مع بيانات الترتيب لدينا ووجدنا بعض اللاعبين الكبار: Yahoo! ، Microsoft ، Uber ، Citrix ، إلخ. يدهشنا أن مكتبة مفتوحة المصدر أدخلت خللًا أمنيًا لمدة 6 أسابيع فقط ملايين من المستخدمين للهجوم ".
تقييم أثر خطأ AFNetworking
ما مدى سوء هذا الضعف؟ يسمح الخطأ للمهاجمين بخداع التطبيقات في التفكير في أنهم يتواصلون عبر اتصال آمن بخادم موثوق به. إذا كنت تستخدم تطبيقًا ضعيفًا ، فبإمكان أي شخص على نفس شبكة WiFi إعداده رجل في منتصف الهجوم ما هو هجوم رجل في الوسط؟ وأوضح المصطلحات الأمنيةإذا كنت قد سمعت عن هجمات "رجل في الوسط" ولكنك غير متأكد تمامًا مما يعنيه ذلك ، فهذه هي المقالة المناسبة لك. اقرأ أكثر واعتراض المعلومات من التطبيقات ، بما في ذلك البيانات الحساسة مثل معلومات بطاقة الائتمان. يمكن بعد ذلك استخدام هذه المعلومات لتسهيل سرقة الهوية 6 علامات تحذيرية لسرقة الهوية الرقمية التي لا يجب تجاهلهاسرقة الهوية ليست نادرة الحدوث في هذه الأيام ، ولكننا غالبًا ما نقع في فخ التفكير بأنه سيحدث دائمًا "لشخص آخر". لا تتجاهل علامات التحذير. اقرأ أكثر وأشكال الاحتيال الأخرى. من المحتمل أن يتم أتمتة هذا النوع من الهجمات لاستهداف التطبيقات الشائعة.
قام عدد من الشركات بنقل التحديثات والإصلاحات منذ ظهور الأخبار ، بما في ذلك Microsoft و Yahoo. ومع ذلك ، تظل معظم التطبيقات بدون إصلاحات. لمعرفة ما إذا كانت التطبيقات التي تستخدمها متأثرة ، يمكنك استخدام أداة بحث SourceDNA. إذا اكتشفت أن أحد تطبيقاتك لا يزال عرضة للهجوم ، فإن الإستراتيجية الأكثر أمانًا هي حذفه مؤقتًا ، وإرسال رسالة إلى المطورين يطلبون منهم وضع التصحيح في أقرب وقت ممكن.
SourceDNA هي أداة ذكية ، وهذا يوضح أن تقنيتها مفيدة حقًا. يعد أمان الكمبيوتر أمرًا صعبًا ، وتعتبر الأداة التي يمكنها أتمتة عملية البحث عن الأخطاء التي لم يتم إصلاحها - بالتعاون مع المطور أو بدونه - مكسبًا كبيرًا لأمان المستخدم. بدون هذا النوع من التدقيق ، لكان هذا الخطأ المنتشر مستمرًا ، ربما لفترة طويلة. يمكّن هذا النوع من التحليل من التشهير العام الكبير الذي يجعل المطورين أكثر خضوعًا للمساءلة ، ويبدو من المرجح أن SourceDNA سيكشف عن المزيد من المشاكل التي لم يتم اكتشافها والتي لم يتم حلها.
هل يتأثر جهاز iOS الخاص بك من خلل AFNetworking؟ هل أنت متحمس من أدوات التحليلات الجديدة هذه؟ اسمحوا لنا أن نعرف في التعليقات!
حقوق الصورة: "الحرب السيبرانية البحرية الأمريكية، "واجهة iPhone ،"كاميرا iPhone"بقلم ويكيميديا
وكاتب وصحفي مقيم في الجنوب الغربي ، يُضمن أندريه أن يظل يعمل حتى 50 درجة مئوية ، وهو مقاوم للماء حتى عمق اثني عشر قدمًا.
