На сегодняшний день порядка 1500 приложений из каталога App Store имеют в себе уязвимость, которая существенно повышает риск кражи персональной информации пользователей, сообщает Engadget со ссылкой на аналитическую компанию SourceDNA.

В частности, специалистами SourceDNA была обнаружена уязвимость во многих приложениях для iPhone и iPad, которая компрометирует HTTPS-соединение, заметно упрощая процесс кражи персональных данных. Исследование данной проблемы показало, что обнаруженная уязвимость содержится лишь в приложениях с устаревшей версией сетевой библиотеки с открытым исходным кодом AFNetworking. В свое время был выпущен соответствующий патч с исправлением, однако, как мы видим, часть приложений до сих пор использует старую версию библиотеки AFNetworking.


"Мы протестировали ряд приложений и неожиданно обнаружили, что защищенный SSL-трафик можно методично перехватывать посредством прокси-серверов вроде Burp без применения дополнительных инструментов", - цитирует Engadget экспертов SourceDNA, которые также уточняют, что данная уязвимость, в случае потенциальной кражи персональных данных, распространяется лишь на информацию, доступную внутри приложения, то есть, если, например, уязвимость "поселилась" в клиенте ресурса Alibaba.com, то хакеры не смогут украсть переписку или финансовые данные с приложения eBay или веб-сайта Amazon.

Усилиями специалистов SourceDNA многие разработчики обратили внимание на данную проблему и начали принимать соответствующие меры для ее устранения, однако, по предварительным оценкам, еще порядка 1500 приложений из каталога App Store до сих пор имеют в себе брешь.