Полторы тысячи приложений для iOS содержат в себе HTTPS-уязвимость, используя которую, злоумышленники могут получить доступ к конфиденциальной информации пользователей. В частности, брешь может использоваться для кражи паролей пользователя, номеров банковских карт и других данных. Об этом сообщают специалисты из SourceDNA.
Баг был найден в версии популярной сетевой библиотеки для iOS и Mac OS X AFNetwork 2.5.1 еще в феврале, но уже в версии 2.5.2 был исправлен с помощью патча. Однако пока этим воспользовались далеко не все разработчики, многие из них до сих пор используют старые версии библиотеки, держа тем самым двери для хакеров открытыми.
Интересно, что во время первого сканирования одного из 1,4 млн приложений с App Store, которое SourceDNA провела 1 апреля, ею была найдена 1000 потенциально опасных приложений с обсуждаемой уязвимостью. По результатам второго сканирования, проведенного 18 апреля, таких приложений стало уже 1500, хотя множество компаний, включая Yahoo, Microsoft и Uber, оперативно обновили свои программные продукты для iOS.
В Source DNA уже разработали инструмент, позволяющий пользователям и разработчикам проверять приложение на наличие данной бреши. Как обещают специалисты по безопасности, база данных инструмента будет обновляться достаточно часто.