В десятках популярных приложений для iOS-устройств некорректно реализована система шифрования, что делает их пользователей уязвимыми к перехвату интернет-трафика. На множественные ошибки натолкнулся аналитик Sudo Security Group Уилл Страфач во время разработки сканера для анализа бинарных файлов.
Как оказалось, уязвимостям подвержены 76 iOS-приложений, которые были скачаны в общей сложности более 18 миллионов раз. Проблема возникла из-за того, что их создатели неправильно реализовали проверку сертификата TLS (Transport Layer Security). "Этот код обычно не следует трогать или переписывать, но, к сожалению, некоторые разработчики (хотелось бы надеяться, непредумышленно) загубили проверку на валидность в своих приложениях", — сказал Страфач.
По какой причине было сделано упущение, выяснить невозможно. Эксперты предположил, что разработчики намеренно понизили уровень безопасности на этапе отладки кода, но забыли вернуть его обратно. Более того, допущенным в программах "дырам" не способна помешать появившаяся в iOS 9 технология App Transport Security, призванная обезопасить передачу данных по сети.
Какие именно iOS-приложения уязвимы к перехвату трафика, Страфач пока не называет. Он связался с разработчиками и дал им 60–90 дней на устранение ошибок.
Источник: The Register
