Тысячи приложений для iPhone и iPad уязвимы к атакам man-in-the-middle

Завтра, 30 октября, в Амстердаме состоится конференция RSA Europe Conference 2013, в рамках которой эксперты компании Skycure намерены представить уязвимость в iOS, эксплуатация которой позволяет осуществлять атаки man-in-the-middle на смартфоны iPhone и планшеты iPad.

«Мы обнаружили огромное количество приложений, которые уязвимы к этой проблеме, — заявил технический директор Skycure Яир Амит (Yair Amit). — Обычно мы подходим к раскрытию подобной информации очень щепетильно, связываемся с конкретными поставщиками программ, исправляем проблему и только тогда сообщаем о ней. Но этот случай интересен тем, что является непростым вызовом, поскольку существует огромнейшее количество приложений, слишком большое, чтобы провести организованное раскрытие информации».

Атаку, получившую название « Хищение HTTP-запросов» (HTTP Request Hijacking), можно осуществить, используя слабые места связи приложений с внутренними серверами, предоставленными разработчиками или другим сайтом. Хакеру необходимо перехватить попытку приложения получить данные через HTTP и ответить на запрос, отправив код 301, который сообщает о том, что запрошенный ресурс был перенесен на другой адрес, в данном случае – подконтрольный хакеру.

Что касается исправления бреши, то эксперты утверждают, что оно довольно простое. Так, компания разместит исходный код, который можно внедрить в приложения, а также представит набор справочных материалов касательно уязвимости.