som skannar App Store för benägna appar är ett stort jobb, men kommer att strafachs verify.ly -tjänst har upptäckt att det finns 76 populära appar i butiken för butiken som för närvarande är benägna att avlyssna data.
Upptäckten är inte relaterad till huruvida App Store -utvecklare drar nytta av Apples App Transport Security, med appar som förblir sårbara även när de är helt kompatibla. Medan 76 appar kanske inte låter som mycket med tanke på antalet appar som för närvarande finns i App Store, är dessa appar mycket av den populära sorten, med en kumulativ 18 miljoner nedladdningar. Det är många människor som är benägna att inledas.
Verify.ly har delat upp apparna i tre kategorier; Låg, medelstor och hög risk, går så långt som att namnge några av de påverkade. Som sagt har 19 höga och 24 medelhög riskappar inte fått namnet ännu, med Strafach som föredrar att garantera att alla utvecklare som är involverade i dessa appar har meddelats i förväg. 33 Appar med låg risk som redan heter inkluderar många appar relaterade till Snapchat och inkluderar Viavideo, Snap Publish för Snapchat och Uploader Complementary för Snapchat. Cheetah -webbläsare och Oovoo tillhandahålls bland annat också av Strafach.
“Apptransportsäkerhetsfunktionen för iOS gör inte och kan inte hjälpa till att blockera denna sårbarhet från att arbeta”, enligt Strafach. ATS, som Apple introducerade som en del av iOS 9, utformades för att förbättra användarnas säkerhet och integritet genom att uppmuntra appar och deras utvecklare att använda HTTPS för att överföra data.
Apple fastställde ett datum den 1 januari 2017 för alla appar för att få funktionen konfigurerad men det datumet har övervägt att gled. Just nu använder Apple inte ett nytt datum alls. Från vår förståelse av frågan i dag skulle attacker utnyttjar felkonfigurerad nätverkskod som i sin tur kan orsaka att apptransportsäkerhet tror att anslutningar är legitima TLS-anslutningar, även när de inte är det.
Det finns ingen möjlig fix som görs på Apples sida, för om de skulle åsidosätta denna funktionalitet i försök att blockera denna säkerhetsfråga, skulle det faktiskt göra vissa iOS -applikationer mindre säkra eftersom de inte skulle kunna använda certifikatfästning för sina anslutningar , och de kunde inte bero på annars otillförlitliga certifikat som kan krävas för intranätanslutningar inom ett företag med hjälp av en intern PKI. Därför vilar Onus enbart på apputvecklare själva för att garantera att deras appar inte är sårbara.
Tills Fixes rullas ut av APP -utvecklarna kan användare försöka minimera risken för att bli foul till datainjektion genom att använda ett VPN eller helt enkelt undvika offentliga WiFi -åtkomstpunkter – båda goda säkerhetspraxis ändå. Eller helt enkelt ta bort apparna tills de uppdateras.
(Källa: Will Strafach [Medium])
Du kanske också vill kolla in:
iOS 10.3 Beta 2: Ändringar eller nya funktionstillägg?
Nedladdning: iOS 10.3 Beta 2 Släppt med Find My AirPods -funktionen och mer
Jailbreak iOS 10 / 10.2 / 10.1.1 på iPhone 7, plus, 6s, iPad Pro med Yalu [uppdaterad]
Jailbreak iOS 10.2.1 / 10.3 för iPhone och iPad [Senaste statusuppdatering]
Du kan följa oss på Twitter, lägga till oss i din cirkel på Google+ eller gilla vår Facebook -sida för att hålla dig uppdaterad om all ström från Microsoft, Google, Apple och webben.