Ein Fehler auf HTTPS kann 25.000 iOS-Anwendungen mit sensiblen Daten über SSL beeinflussen

Mindestens 25.000 Anwendungen in iOS ‘App Store von Apple enthält eine kritische Sicherheitslücke, die völlig zu lähmen könnte HTTPS und stehlen oder sensible Daten zu ändern.

Wie bei einem letzten war der Fall verschiedene Schwachstellen, die HTTPS 1.500 Anwendungen iOS betroffen, liegt der Fehler in AFNetworking, einer Sammlung von Open-Source-Code, der Entwickler Netzwerkfunktionen in ihren Anwendungen IOS und OS X zu schließen erlaubt jeder Anwendung, eine Version von AFNetworking vor dem neu erschienenen 2.5.3 konnten ihre Daten an Hacker ausgesetzt und könnte leichter zu überwachen und zu ändern, selbst wenn sie durch das Protokoll geschützt Secure Sockets Layer (SSL), wie zum Beispiel für Geldtransaktionen.  

Secure Socket Layer (SSL)
Die Sicherheitsanfälligkeit kann mit einem beliebigen gültiges SSL-Zertifikat für jeden Domain-Namen, sofern der digitalen Berechtigungsnachweis wurde von einer vertrauenswürdigen Zertifizierungsstelle des Browsers ausgegeben wurde ausgenutzt werden.

Das Ergebnis ist, dass ein Angreifer mit den jeweils gültigen Zertifikat kann abfangen oder ändern Sie eine SSL-Sitzung von einer App mit dieser Bibliothek unvollkommen begonnen. 
Der Fehler ist, dass der Domain-Name wird nicht in CERT überprüft, auch wenn das Zertifikat überprüft, um sicherzustellen, dass Es wurde mit Erfolg ausgestellt. Zum Beispiel kann ich so tun, “microsoft.com” nur durch Vorlage eines gültigen cert sein.

Es wird geschätzt, dass die Zahl der Anwendungen iOS potenziell betroffenen variiert von 25.000 bis maximal 50.000. 
SourceDNA ein freies Suchwerkzeug,   das Anwender und Entwickler zu beenden können abfragen, um festzustellen, ob ihre Anwendungen gefährdet. 
Um es zu erschweren für Angreifer, die Sicherheitsanfälligkeit auszunutzen, muss SourceDNA keine vollständige Liste der gefährdeten Anwendungen.

Eine schnelle Überprüfung ergab, dass mehrere Anwendungen bacnhe wie Bank of America, Wells Fargo und JPMorgan Chase wurden wahrscheinlich betroffen, auch wenn einige dieser Berichte könnten False Positives sein. 
Es ist möglich, dass einige Anwendungen markiert SourceDNA benutzerdefinierte Code oder Maßnahmen Sekundär, wie Zertifikate von Pinning, die Angriffe zu verhindern.

IOS-Benutzer sollten sofort den Status jeder Anwendung, die sie verwenden, vor allem, wenn die Anwendungen übertragen, Kontonummern oder andere sensible Daten. 
Es kann Anwendungsentwickler anfällig für ein Update, das ein Update AFNetworking enthält Release erforderlich, so dass die Nutzer sollten bereit sein, gefährdeten Versionen zu verhindern. 
Die Fehler AFNetworking betrifft nur Anwendungen, die die Code-Bibliothek zu verwenden.  Das Gerät selbst und anderen Anwendungen, einschließlich Browser, werden nicht von der Schwachstelle betroffen, wenn auch eine oder mehrere Anwendungen auf dem Gerät Sie sind verletzlich.