Środowisko iOS uważa się za jeden z najbezpieczniejszych ekosystemów, na który składa się zarówno sam system operacyjny, jak i aplikacje które przed pojawieniem się w App Store przechodzą - przynajmniej w teorii - proces weryfikacji. Niestety co kilka miesięcy odkrywane są różnego rodzaju luki, które przypominają o tym, że nie ma mowy o 100-procentowym bezpieczeństwie.

Serwis ArsTechnica donosi o luce w opensource'owym kodzie AFNetworking obsługującym protokół HTTPS (wymaganym do nawiązywania bezpiecznych połączeń internetowych) pozwalającej na ich przechwytywanie za pomocą ataków typu Man in the middle wykorzystujących np. specjalny bezprzewodowy punkt dostępu do internetu. Wspomniana luka powoduje, że aplikacja nie wykrywa właśnie zagrożenia na tym etapie - fałszywy punkt dostępu nie posiada bowiem odpowiednich certyfikatów bezpieczeństwa.

W najnowszej wersji AFNetworking luka została już załatana, jednak ze wspomnianego wadliwego kodu wciąż korzysta około 1500 aplikacji dla iOS. Przesyłane przez nie dane do serwerów, a więc m.in. loginy i hasła, mogą zostać przechwycone. Zagrożonych jest około 2 milionów użytkowników.

Wśród dziurawych apliacji wymienia się m.in. Citrix OpenVoice Audio Conferencing, Alibaba.com, Movies by Flixster, KYBankAgent i Revo Restaurant Point of Sale.

Źródło: ArsTechnica