După prima vulnerabilitate descoperită acum câteva luni în App Store (care afecta aproximativ 1.500 de aplicații), iată că a apărut o a doua ce amenință serios securitatea utilizatorilor iOS, cele 25.000 de aplicații contaminate având capacitatea de a bulversa total protecția oferită de standardele HTTPS.
Acest ”bug” a fost descoperit de curând în librăria ”open-source” aparținând AFNetworking, librărie ce permitea conectarea în aplicațiile OS X sau iOS. Toate aplicațiile ce utilizează versiunea neactualizată a librăriei sunt predispuse unor potențiale atacuri privind interceptarea traficului de date, inclusiv în situația când acesta beneficiază de protecția unui certificat SSL.
Potrivit declarației lui Nate Lawson, liderul companiei SourceDNA (specializată în studiul problemelor privind securitatea informatică), orice atacator deținător al unui certificat valid poate modifica sesiunea SSL inițiată de aplicația ce utilizează respectiva librărie, în scopul colectării de informații. Lawson estimează un număr de aproximativ 50.000 de aplicații afectate, printre acestea numărându-se și aplicații bancare.
Principala problemă ar fi că nu este verificat numele domeniului, indiferent de faptul că certificatul a fost emis de una din instituțiile autorizate. Spre exemplu, oricine poate pretinde că este proprietarul unui website, justificând cu certificatul altui website.
Recenta vulnerabilitate reprezintă efectul celei dintâi, ambele afectând librăria AFNetworking, aceasta din urmă fiind prezentă în toate versiunile 2.X, în afara ultimei actualizări 2.5.3. Chiar dacă specialiștii de la AFNetworking au remediat problema, încă sunt multe aplicații ce nu au fost actualizate la ultima versiune.
