Ubehagelig SSL-sårbarhed griber om sig: 25.000 iOS-apps er i farezonen

25.000 apps til iOS kan angribes af hackere, fordi koden, der skal sikre krypteret kommunikation, indeholder kritiske fejl.

Artikel top billede

De omkring 1.500 iOS-apps, der menes at have en SSL-sårbarhed, der gør det lettere for hackere at afkode ellers krypterede informationer, vokser nu til potentielt over 25.000 apps.

Det er virksomheden SourceDNA, der også afslørerede den oprindelige sårbarhed, der nu føjer nye oplysninger til sagen.

SSL-sårbarheden er opstået via en bug i open source kode-biblioteket AFNetworking, som en del udviklere gør brug af, når de udvikler apps.

"Kan I huske, da 1.500 sårbare apps var en stor sag? Hvad med 25,000+ apps? Der er en anden AFNetworking SSL-sårbarhed, der blotter brugerdata overfor for en hacker med et certifikat til 50 dollars," forklarer SourceDNA.

Virksomheden fortæller, at version 2.5.1 af AFNetworking SSL-koden indeholdt den oprindelige sårbarhed, og at den ganske vist blev lukket med version 2.5.2.

"... men der var en anden fejl i nærheden i den samme kode. Domænenavns-validering kunne slås til ved hjælp af ‘validatesDomainName', men var slået fra som standard. Det blev kun slået til, når søgning efter certifikater var slået til, noget som for få udviklere gør brug af."

Ifølge SourceDNA har problemet derfor været, at en hacker kunne opsnappe data fra en SSL-session imellem en app og internettet.

"Fordi domænenavnet ikke blev tjekket, behøvede de blot et troværdigt SSL-certifikat til en vilkårlig webserver, noget du kan købe for 50 dollars."

Kan tage lang tid at lukke sårbarheden

Denne sårbarhed var noget overraskende til stede i AFNetworking 2.5.2, selv om den var blevet identificeret før den version blev frigivet, forklarer SourceDNA. 

Nu er version 2.5.3 så frigivet, og den skulle i princippet fjerne sårbarheden - men det rykker først noget ved sikkerheden, når app-udviklerne, der i dette tilfælde står bag de 25.000+ apps, implementerer den nye SSL-kode.

Det arbejde kan godt tage et stykke tid, da de mange tusinde apps - hvis udviklerne altså overhovedet opdaterer dem - først skal have implementeret den nye SSL-kode, hvorefter de skal godkendes af Apple og frigives i App Store - hvorefter brugerne jo så også skal opdatere appen.

Der er generelt et problem med, at alt for mange apps har ringe eller slet ingen kryptering af kommunikationen.

Computerworld bragte i sidste uge flere artikler om den manglende sikkerhed i mange apps.

Og det er langt fra kun iOS-apps, der kan være sårbare. Will Dormann, der er sikkerhedsforsker ved CERT på Carnegie Mellon University, har afsløret, at ud af en million scannede Android-apps havde 23.667 apps ikke styr på de sikre forbindelser.

Læs også:

Sikkerhedsfirma advarer: iOS-sårbarhed kan sende iPhone i uendelig reboot

Ekspert advarer om vanvittig mangel på sikkerhed og privacy i apps

Alvorligt problem: Både Android og iOS har apps uden ordentlig kryptering

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job