Nedavno je istraživač sigurnosti iOS-a upozorio i potvrdio da je najmanje 76 popularnih aplikacija jednostavno ranjivo na tiho presretanje podataka zaštićenih TLS-om (Transport Layer Security).
Za one koji su smatrali da je Appleova trgovina aplikacija potpuno sigurna i da je svaka aplikacija dostupna, temeljito je nadgledana, pa je pustite!
Nakon analize binarnih datoteka aplikacije provjeriti.ly platformi koju je razvio Will Strafach, otkriveno je da postoji najmanje 76 vrlo popularnih aplikacija koje ne jamče sigurnost korisničkih podataka. Jedna od tih aplikacija je Paypal. Štoviše, objavljeno je i u časopisu Srednji post izvršnog direktora Sudo Security Group Willa Strafacha, koji je otkrio da aplikacije nisu iskoristile TLS protokol.
Sveukupno je 76 aplikacija samo dio „crne liste“ o sigurnosti podataka. Te su aplikacije organizirane u tri kategorije: niski, srednji i visoki rizik. Autor studije nije otkrio imena svih ranjivih aplikacija, ali je istaknuo neke programe kao što su Paypal, Kaspersky Safe Browser i Dell SecureWorks.
Još jedna zanimljiva činjenica je da su ove aplikacije već preuzete više od 18 milijuna puta iz Apple trgovine.
Ali u čemu je problem s tim aplikacijama?
Kad bi se stvarali mrežni protokoli, teško bi netko mogao zamisliti da bi mogao doći do onoga što je sada u ovom divovskom svijetu Interneta. Uz to, sigurnosni protokoli su zaboravljeni i naknadno su stvoreni i usvojeni kako bi se osigurala povjerljivost i integritet komunikacije. SSL koji je razvio Netscape bio je jedan od tih protokola, a kasnije ga je IETF standardizirao i dobio oznaku Transport Layer Security (TLS).
U praksi SSL / TLS osigurava sigurnost TCP veza nudeći niz sigurnosnih mehanizama.
Sigurnosni problem većine aplikacija leži upravo u SSL / TLS protokolu, koji jamči autentičnost, povjerljivost i cjelovitost poruka razmijenjenih između klijenta i poslužitelja. Bez ove zaštite, komunikacije postaju ranjive, budući da postaje moguće slušati komunikaciju napadima, koji se nazivaju napadi čovjeka u sredini.
Čini se da je krivnja na programerima koji su proizveli kôd koji TLS protokolu omogućuje prihvaćanje nevaljanih digitalnih certifikata. Dakle, za sada vam toplo preporučujemo da ne koristite nijednu od spomenutih aplikacija na javnim Wifi žarišnim točkama samo da biste održali svoju sigurnost ili privatnost.