Oltre 25.000 App di iOS colpite da una falla

La vulnerabilità è presente in AFNetworking, una repository popolare di networking per dispositivi iOS e OS X, e consiste in una falla nello strumento per verificare il nome di dominio del certificato SSL.

Ogni certificato SSL può essere utilizzato per decifrare i dati

La funzione esiste nel prodotto, ma è disattivata di default in tutte le versioni AFNetworking precedenti della 2.5.3, che è stato pubblicata Venerdì.

“Ciò significa che un hacker potrebbe intercettare dati privati ​​o prendere il controllo di una sessione SSL tra l’applicazione e Internet. Perché il nome di dominio non è stato controllato, tutto quello che serve è un certificato SSL valido per qualsiasi server web, ovvero qualcosa che si può acquistare per $ 50 [45 €], ” riferisce SourceDNA , una società che fornisce servizi di analisi del codice, dal punto di vista della sicurezza informatica.

Il ricercatore accreditato per la scoperta del difetto è Ivan Leichtling di Yelp. Ironia della sorte, manutentori di AFNetworking avevano risolto il problema prima del rilascio precedente (2.5.2), che è destinato a riparare un’altra vulnerabilità SSL, ma in qualche modo questa falla non è stata inclusa.

Ciò che è stato eliminato in AFNetworking 2.5.2 era una mancanza di convalida dei certificati SSL , consentendo un hacker, con un certificato auto-firmato, di intercettare il traffico crittografato da applicazioni vulnerabili per visualizzare le informazioni sensibili inviate al server.

Dopo la scansione per il codice vulnerabile presenti in applicazioni iOS, SourceDNA ha rilevato che dopo che il difetto è stato patchato c’erano un sacco di sviluppatori che non hanno aggiornato i loro prodotti, lasciando i propri utenti esposti alla falla.