Минимум 76 популярных iOS приложений неправильно используют TLS и уязвимы для MitM-атак

Специалисты Sudo Security Group создали сервис verify.ly, предназначенный для поиска проблем с безопасности в iOS-приложениях. В связи с созданием verify.ly, исследователям было интересно понять, каким именно проблемам мобильные приложениям подвержены чаще всего. В итоге автоматический анализ популярных решений из Apple App Store выявил весьма грустную картину.

Исследователи пишут, что им удалось обнаружить 76 iOS-приложений, в которых хромает имплементация TLS, а значит, они уязвимы для атак man-in-the-middle и допускают утечки TLS-трафика. Суммарно уязвимые приложения были скачаны более 18 млн раз. При этом все они были созданы с учетом стандарта Apple ATS (App Transport Security), который подразумевает, что приложение должно сообщаться с серверами разработчиков только посредством HTTPS, особенно если речь идет о передаче конфиденциальных данных. Но для ATS достаточно просто наличия TLS, а все остальные проверки ложатся на приложение.

Специалисты объясняют, что разработчики приложений не сумели правильно реализовать валидацию сертификатов и certificate pinning. Приложения без проблем принимают самоподписанные сертификаты, а это большой риск.

Согласно отчету Sudo Security Group, 19 из 76 приложений допускают утечки таких критически важных данных, как финансовая и медицинская информация, пароли, аутентификационные токены сессий. Еще 24 приложения из 76 могут слить на сторону только пароли и токены. Завершают список еще 33 приложения, которые были сочтены наименее опасными, но они все равно могут раскрыть третьим лицам информацию об устройстве, логины и email-адреса пользователя.

В отчете исследователи раскрывают названия лишь тех приложений, которые представляют наименьшую угрозу для пользователей и их данных. Остальные названия не разглашаются из соображений безопасности. Аналитики уже связались с разработчиками уязвимых продуктов и сообщили им о проблемах. Также специалисты в очередной раз напомнили пользователям, что доверять публичным точкам доступа в интернет не стоит, именно через них легче всего реализовать mitm-атаку.