SourceDNA แพลตฟอร์มการวิเคราะห์โค้ดที่ตรวจสอบแอป Android และ iOS เพิ่งเผยแพร่รายงานระบุว่าแอป iOS มากกว่า 1,000 แอปมีช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งอาจทำให้รายละเอียดทางการเงินของผู้ใช้ลดลง
ข้อบกพร่องนี้ป้องกันไม่ให้แอปตรวจสอบสิทธิ์ใบรับรอง SSL อย่างถูกต้อง เปิดแอปจนถึงการโจมตีแบบคนกลางจำนวนมาก แม้ว่าแอปนี้จะไม่ส่งผลต่อความปลอดภัยของ iOS เอง แต่อาจทำให้ข้อมูลผู้ใช้ที่ส่งผ่านแอปได้รับผลกระทบ...
ข้อบกพร่องง่ายๆ ที่ทำลาย SSL
ข้อบกพร่องที่เป็นปัญหาอยู่ในแพ็คเกจ AFNetworking ซึ่งเป็นโซลูชันเครือข่ายโอเพ่นซอร์สยอดนิยมที่ใช้ในแอพ App Store หลายพันรายการ ข้อบกพร่องนี้เป็นข้อผิดพลาดทางตรรกะง่ายๆ ที่หยุดการตรวจสอบ SSL ไม่ให้เกิดขึ้นจริง โดยส่งคืนการตรวจสอบใบรับรองทั้งหมดว่าถูกต้อง นี่ไม่ใช่หายนะด้านความปลอดภัยครั้งใหญ่อย่าง HeartBleed หรือ ShellShock แต่เป็นปัญหาหากคุณใช้แอปที่มีจุดบกพร่อง โชคดีที่บั๊กนี้มีอยู่ประมาณหกสัปดาห์เท่านั้น เพิ่มใน 2.5.1 และแก้ไขใน 2.5.2 คุณอาจคิดอย่างมีเหตุผลว่านั่นคือจุดสิ้นสุดของเรื่อง
เสียดายไม่มี
น่าเศร้าที่นักพัฒนาจำนวนมากไม่ได้คอยอัพเดทแอพของตนให้ทันสมัยอยู่เสมอด้วยการแก้ไขจุดบกพร่อง และมีแอพจำนวนมากที่ยังคงใช้ AFNetworking เวอร์ชันที่ใช้งานไม่ได้ แม้ว่าจะมีแพตช์ให้ใช้งาน SourceDNA วิเคราะห์แอป 20,000 แอปที่มีเวอร์ชันของแพ็คเกจ AFNetworking และพบว่ามีประมาณ 1,000 แอปที่ยังคงใช้การตรวจสอบ SSL ที่ใช้งานไม่ได้
SourceDNA ดำเนินการตรวจสอบนี้ได้โดยใช้เครื่องมือวิเคราะห์ที่ทำให้วิเคราะห์ไฟล์ไบนารีของแอปนับพันได้ เทคโนโลยีของพวกเขาช่วยให้ระบุได้ว่าแอปเหล่านี้ไม่ได้คอมไพล์ด้วยไลบรารีใด แต่ เวอร์ชัน ของห้องสมุดเหล่านั้น ผลที่ได้คือ สิ่งนี้มีประโยชน์อย่างเหลือเชื่อในการระบุว่าแอปใดที่อาจได้รับผลกระทบจากจุดบกพร่องและจุดอ่อนที่ทราบ ตามเอกสารที่เผยแพร่
"SourceDNA สร้างลายนิ้วมือที่แตกต่างจากพวกเขาเพื่อค้นหารหัสที่มีช่องโหว่ คิดว่านี่เป็นชุดของลักษณะเฉพาะที่มีอยู่หรือไม่มีอยู่เฉพาะในเวอร์ชันเป้าหมายและไม่ใช่อื่น ๆ ก่อนหรือหลัง ด้วยชุดลายเซ็นนี้ การวิเคราะห์ของเรา เอ็นจิ้นจะบอกเราได้อย่างชัดเจนว่า AFNetworking เวอร์ชันใดที่ใช้อยู่ในแต่ละแอป "
แอปที่ได้รับผลกระทบจำนวนมากจะจัดเก็บและส่งข้อมูลบัตรเครดิตของผู้ใช้ ซึ่งรวมถึงแอปมือถือ Alibaba.com, KYBankAgent 3.0 และจุดขาย Revo Restaurant ผู้ใช้หลายล้านคนมีแอปที่มีช่องโหว่ติดตั้งอยู่ในอุปกรณ์ iOS ของพวกเขา ซึ่งเป็นจำนวนที่น่าตกใจจากข้อบกพร่องสั้นๆ ดังกล่าว
"5% หรือประมาณ 1,000 แอพมีข้อบกพร่อง แอพเหล่านี้มีความสำคัญหรือไม่ เราเปรียบเทียบกับข้อมูลอันดับของเราและพบผู้เล่นรายใหญ่:Yahoo!, Microsoft, Uber, Citrix ฯลฯ ทำให้เราประหลาดใจที่ห้องสมุดโอเพ่นซอร์สที่ เปิดตัวข้อบกพร่องด้านความปลอดภัยเพียง 6 สัปดาห์เปิดเผย ล้าน ของผู้ใช้ในการโจมตี"
การประเมินผลกระทบของ AFNetworking Bug
ช่องโหว่นี้เลวร้ายแค่ไหน? ข้อบกพร่องนี้ทำให้ผู้โจมตีหลอกแอปให้คิดว่าพวกเขากำลังสื่อสารผ่านการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์ที่เชื่อถือได้ หากคุณกำลังใช้แอปที่มีช่องโหว่ ใครก็ตามในเครือข่าย WiFi เดียวกันกับที่คุณสามารถตั้งค่าการโจมตีแบบคนกลางและสกัดกั้นข้อมูลจากแอป รวมถึงข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลบัตรเครดิต จากนั้น ข้อมูลนี้จะนำไปใช้อำนวยความสะดวกในการขโมยข้อมูลประจำตัวและการฉ้อโกงรูปแบบอื่นๆ การโจมตีประเภทนี้อาจเป็นไปโดยอัตโนมัติเพื่อกำหนดเป้าหมายแอปยอดนิยม
บริษัทหลายแห่งเร่งดำเนินการอัปเดตและแก้ไขตั้งแต่มีข่าวออกมา รวมถึง Microsoft และ Yahoo แม้ว่าแอพส่วนใหญ่จะไม่ได้รับการแก้ไข หากต้องการดูว่าแอปที่คุณใช้ได้รับผลกระทบหรือไม่ คุณสามารถใช้เครื่องมือค้นหา SourceDNA หากคุณพบว่าแอปใดแอปหนึ่งของคุณยังคงมีช่องโหว่ กลยุทธ์ที่ปลอดภัยที่สุดคือการลบออกชั่วคราว และส่งข้อความถึงนักพัฒนาซอฟต์แวร์เพื่อขอให้นำโปรแกรมแก้ไขออกโดยเร็วที่สุด
SourceDNA เป็นเครื่องมือที่ชาญฉลาด และสิ่งนี้แสดงให้เห็นว่าเทคโนโลยีของพวกเขามีประโยชน์อย่างแท้จริง การรักษาความปลอดภัยของคอมพิวเตอร์นั้นยาก และเครื่องมือที่สามารถทำให้กระบวนการค้นหาจุดบกพร่องที่ไม่ได้รับการแก้ไขเป็นไปโดยอัตโนมัติ ไม่ว่าจะด้วยความร่วมมือของนักพัฒนาซอฟต์แวร์หรือไม่ก็ตาม ถือเป็นชัยชนะครั้งใหญ่สำหรับความปลอดภัยของผู้ใช้ หากไม่มีการตรวจสอบแบบนี้ บั๊กที่แพร่หลายนี้ก็จะยังคงอยู่ อาจเป็นเวลานานทีเดียว การวิเคราะห์ประเภทนี้ทำให้เกิดความอับอายในที่สาธารณะซึ่งทำให้นักพัฒนามีความรับผิดชอบมากขึ้น และดูเหมือนว่า SourceDNA จะค้นพบปัญหาที่ตรวจไม่พบและยังไม่ได้แก้ไขเพิ่มเติม
อุปกรณ์ iOS ของคุณได้รับผลกระทบจากจุดบกพร่องของ AFNetworking หรือไม่ คุณรู้สึกตื่นเต้นกับเครื่องมือวิเคราะห์ใหม่เหล่านี้หรือไม่? แจ้งให้เราทราบในความคิดเห็น!
เครดิตรูปภาพ:"US Navy Cyberwarfare" "ด้านหน้า iPhone, "กล้อง iPhone" โดย Wikimedia