Manu Pitkänen
26. huhtikuuta, 2015 21:38
Uutisoimme tiistaina noin tuhatta iOS-sovellusta koskettaneesta haavoittuvuudesta, mikä altisti sovellusten välittämän tiedon niin sanotulle man-in-the-middle-hyökkäyksille. Kolmannen osapuolen kehittämästä suojattujen yhteyksien luontiin käytetystä AFNetworking-komponentista on löytynyt nyt uusi haavoittuvuus, joka on jo paljon vakavampi.
Aiemmin uutisoitu haavoittuvuus kosketti vain tämän vuoden alussa julkaistua AFNetworkingin versiota (2.5.2), mutta tuorein haavoittuvuus koskettaa ohjelmiston kaikkia 2.x-versioita uusinta 2.5.3:a lukuun ottamatta. Haavoittuvuuden takia ohjelmat eivät tarkista vastaako suojaussertifikaatissa määritelty verkko-osoite siihen osoitteeseen, johon se ottaa yhteyttä.
Tämä antaa pahaa tahtoville hyökkääjille oivan mahdollisuuden salakuunnella sovellusten välittämän tietoliikenteen, mikä esimerkiksi pankkisovellusten kohdalla voi olla hyvinkin arkaluontoista. Arviolta 25 000 iOS-sovellusta on alttiina haavoittuvuudelle.
Koska kyse on kolmannen osapuolen kehittämästä ohjelmistosta, ei haavoittuvuus kosketa iOS:ää järjestelmätasolla.