Det er op til app-producenter at sikre, at deres apps ikke er sårbare over for man-in-the-midten-angreb.
Over 40 apps blev bekræftet som middel eller høj risiko for man-in-the-middle-angreb. (Billede: CNET/CBS Interactive)
Dusinvis af populære iPhone-apps er sårbare over for angreb, der kan give hackere mulighed for at opsnappe og stjæle potentielt følsomme, krypterede data.
Resultaterne, der blev offentliggjort i et blogindlæg på mandag, sagde, at buggy-apps kunne tegne sig for mindst 18 millioner enhedsdownloads.
FORTROLIGHED 101
Privatliv 101: Sådan krypterer du din iPhone på et minut
Aktivering af kryptering på din Apple-telefon eller -tablet er nemmere, end du tror.
Læs nuBlandt de 33 navngivne apps, Utilslut adgang kan lække brugernavne og adgangskoder, så en angriber kan forstyrre en brugers køretøj, mens Huawei HiLink kan lække enhedsdata, og geolokationsdata og endda tastetryk kan opsnappes fra brugere af Cheetah browser.
Over 40 apps blev bekræftet som middel eller høj risiko for man-in-the-middle-angreb, hvilket gør det muligt for en angriber at opsnappe finansielle eller medicinske serviceoplysninger.
Disse berørte apps blev ikke umiddelbart navngivet, men er underlagt en to- eller tre måneders ansvarlig offentliggørelsesperiode, hvor udviklerne løser problemet, sagde Will Strafach, administrerende direktør hos Sudo Security Group (verify.ly), som skrev blogindlægget.
Strafach, hvis virksomhed har en kommerciel andel i mobilsårbarhedsområdet, sagde, at app-brugere er mere sikre, når de ikke bruger Wi-Fi.
"Mens du er på en mobilforbindelse, eksisterer sårbarheden stadig. Cellulær aflytning er vanskeligere, kræver dyr hardware, er langt mere mærkbar, og det er ret ulovligt (inden for USA),« sagde han.
Hvad der kan være et simpelt nok problem, kan være svært at løse over hele linjen.
Dårligt implementeret netværkskode af app-udviklere betyder, at appen vil acceptere ethvert certifikat for at etablere en krypteret forbindelse, ifølge Strafach.
En angriber inden for nærliggende rækkevidde af en sårbar enhed kan narre appen til at acceptere deres certifikat, hvilket giver dem mulighed for at fjerne alle data til og fra appen.
For at gøre tingene værre, blokerer Apples app-transportsikkerhedsfunktion ikke angriberens certifikat, fordi den ser en gyldig krypteret forbindelse.
Og det er ikke sådan, at Apple kan hjælpe, sagde Strafach. Hvis virksomheden skulle blokere sikkerhedsbristen, kunne det gøre iPhone- og iPad-apps mindre sikre, som apps ville tilsidesætte certifikatfastgørelse, en sikkerhedsfunktion, der forhindrer personefterligning ved brug af svigagtig certifikater.
"Byorden hviler udelukkende på app-udviklere selv for at sikre, at deres apps ikke er sårbare," sagde han.
ZDNET UNDERSØGELSER
- Forskere siger, at en alkometer har fejl og sår tvivl om utallige domme
- Retssager truer infosec-forskningen - lige når vi har mest brug for det
- NSA's Ragtime-program er rettet mod amerikanere, viser lækkede filer
- Lækkede TSA-dokumenter afslører New Yorks lufthavns bølge af sikkerhedsbrud
- Den amerikanske regering pressede teknologivirksomheder til at udlevere kildekode
- Millioner af Verizon-kunderegistreringer afsløret i sikkerhed bortfalder
- Mød de skyggefulde tech-mæglere, der leverer dine data til NSA
- Inde i den globale terrorovervågningsliste, der i hemmelighed skygger for millioner
- 198 millioner amerikanere ramt af 'største vælgerrekord nogensinde' læk
- Storbritannien har vedtaget den 'mest ekstreme overvågningslov, der nogensinde er vedtaget i et demokrati'
- Microsoft siger, at 'ingen kendt ransomware' kører på Windows 10 S - så vi forsøgte at hacke det
- Lækket dokument afslører britiske planer for bredere internetovervågning