Een groot aantal populaire apps voor iPhones en iPads bevat een kwetsbaarheid in de implementatie van https. Hierdoor zou het eenvoudig zijn ssl-verkeer af te tappen op onveilige netwerken. De apps zijn kwetsbaar door gebruik van een oude versie van AFNetworking.

Het bedrijf SourceDNA vond een manier om het gebruik van AFNetworking bij iOS-apps te monitoren en constateerde dat 1000 apps kwetsbaar waren, waaronder apps van Yahoo, Microsoft, Uber en Citrix. Het bedrijf heeft een zoekmachine online gezet waarmee gebruikers kunnen controleren welke apps kwetsbaar zijn.

AFNetworking is een opensource-codebibliotheek die veel ontwikkelaars gebruiken voor netwerkfunctionaliteit van hun apps. Versie 2.5.1 van de library, die 12 februari uitkwam, kampte met een bug waardoor er geen validatie van ssl-certificaten plaatsvond. In versie 2.5.2 werd het probleem verholpen maar in de tussentijd waren veel apps bijgewerkt en lang niet alle apps voerden vervolgens de versie door waar de bug niet in zat.

SourceDNA maakte vingerafdrukken van de versies van AFNetworking van voor, tijdens en na de kwetsbaarheid. Het bedrijf matchte deze met de binary code van 20.000 iOS-apps die gedurende de periode dat AFNetworking kwetsbaar was, uitgebracht werden of een update kregen. De resultaten waren dat 55 procent nog de oude, veilige 2.5.0-code bevatte, 40 procent niet over de kwetsbare ssl-api beschikte en 5 procent wel kwetsbaar was.

Als mensen met een iPhone of iPad kwetsbare apps gebruiken op een netwerk dat door een kwaadwillende wordt beheerd, is verkeer dat versleuteld zou moeten zijn te onderscheppen, waarmee mogelijk logins en wachtwoorden in verkeerde handen kunnen komen. "Het verbaast ons dat een opensource-codebibliotheek die zes weken met een beveiligingslek kampte, miljoenen mensen blootstelde aan aanvallen", meldt SourceDNA.

Bron: Tweakers.net