Artikel top billede

Ubehagelig SSL-sårbarhed griber om sig: 25.000 iOS-apps er i farezonen

25.000 apps til iOS kan angribes af hackere, fordi koden, der skal sikre krypteret kommunikation, indeholder kritiske fejl.

De omkring 1.500 iOS-apps, der menes at have en SSL-sårbarhed, der gør det lettere for hackere at afkode ellers krypterede informationer, vokser nu til potentielt over 25.000 apps.

Det er virksomheden SourceDNA, der også afslørerede den oprindelige sårbarhed, der nu føjer nye oplysninger til sagen.

SSL-sårbarheden er opstået via en bug i open source kode-biblioteket AFNetworking, som en del udviklere gør brug af, når de udvikler apps.

"Kan I huske, da 1.500 sårbare apps var en stor sag? Hvad med 25,000+ apps? Der er en anden AFNetworking SSL-sårbarhed, der blotter brugerdata overfor for en hacker med et certifikat til 50 dollars," forklarer SourceDNA.

Virksomheden fortæller, at version 2.5.1 af AFNetworking SSL-koden indeholdt den oprindelige sårbarhed, og at den ganske vist blev lukket med version 2.5.2.

"... men der var en anden fejl i nærheden i den samme kode. Domænenavns-validering kunne slås til ved hjælp af ‘validatesDomainName', men var slået fra som standard. Det blev kun slået til, når søgning efter certifikater var slået til, noget som for få udviklere gør brug af."

Ifølge SourceDNA har problemet derfor været, at en hacker kunne opsnappe data fra en SSL-session imellem en app og internettet.

"Fordi domænenavnet ikke blev tjekket, behøvede de blot et troværdigt SSL-certifikat til en vilkårlig webserver, noget du kan købe for 50 dollars."

Kan tage lang tid at lukke sårbarheden

Denne sårbarhed var noget overraskende til stede i AFNetworking 2.5.2, selv om den var blevet identificeret før den version blev frigivet, forklarer SourceDNA. 

Nu er version 2.5.3 så frigivet, og den skulle i princippet fjerne sårbarheden - men det rykker først noget ved sikkerheden, når app-udviklerne, der i dette tilfælde står bag de 25.000+ apps, implementerer den nye SSL-kode.

Det arbejde kan godt tage et stykke tid, da de mange tusinde apps - hvis udviklerne altså overhovedet opdaterer dem - først skal have implementeret den nye SSL-kode, hvorefter de skal godkendes af Apple og frigives i App Store - hvorefter brugerne jo så også skal opdatere appen.

Der er generelt et problem med, at alt for mange apps har ringe eller slet ingen kryptering af kommunikationen.

Computerworld bragte i sidste uge flere artikler om den manglende sikkerhed i mange apps.

Og det er langt fra kun iOS-apps, der kan være sårbare. Will Dormann, der er sikkerhedsforsker ved CERT på Carnegie Mellon University, har afsløret, at ud af en million scannede Android-apps havde 23.667 apps ikke styr på de sikre forbindelser.

Læs også:

Sikkerhedsfirma advarer: iOS-sårbarhed kan sende iPhone i uendelig reboot

Ekspert advarer om vanvittig mangel på sikkerhed og privacy i apps

Alvorligt problem: Både Android og iOS har apps uden ordentlig kryptering




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere