AppStore słynie z tego, że aplikacje które do niego trafiają są sprawdzane przez pracowników Apple. Jest to powodem dłuższego oczekiwania na pojawienia się aplikacji w sklepie, ale ma nam gwarantować bezpieczeństwo.

Niestety rzeczywistość jest troszkę inna od założeń jakie Apple nam przedstawia. Otóż okazuje się, że w AppStore na tą chwilę można pobrać przynajmniej 76 aplikacji w których w zły sposób zaimplementowano TSL.

TLS (ang. Transport Layer Security) – jest to rozwinięcie internetowego protokołu SSL (ang. Secure Socket Layer) zaprojektowanego przez firmę Netscape. Zadaniem SSL jest zapewnienie poufności oraz integralności danych przesyłanych przez Internet. SSL umożliwia autoryzację serwera oraz szyfrowanie połączenia pomiędzy przeglądarką a serwerem, dzięki czemu przesyłane informacje są tajne. Jest to protokół uniwersalny, który można stosować do zabezpieczenia protokołów warstwy aplikacji, np.: http, FTP, Telnet itp.

Takie informacje pochodzą od verify.ly które umożliwia binarne sprawdzenie kodu aplikacji, a następnie zaprezentowanie wyników w postaci przystępnego raportu. Jak twierdzi CEO Will Strafach takie luki w zabezpieczeniach aplikacji umożliwiają dostęp do wrażliwych danych użytkownika który z niej korzysta np. będąc podłączonym do publicznego WiFi czy nawet do własnej bezprzewodowej sieci w domu.

Przykłady niektórych aplikacji

  • ooVoo — Free Video Call, Text and VoiceVivaVideo
  • Free Video Editor & Photo Movie Maker
  • Snap Upload for Snapchat — Send Photos & Videos
  • Uconnect Access
  • Volify — Free Online Music Streamer & MP3 Player
  • Uploader Free for Snapchat — Quick Upload Snap from Camera Roll
  • Huawei HiLink (Mobile WiFi)
  • Private Browser — Anonymous VPN Proxy Browser

Jak możecie zobaczyć są to różnego rodzaju aplikacje, wiec nie można powiedzieć, że problem dotyczy tylko konkretnej kategorii. Dane które można uzyskać w dość łatwy sposób to między innymi

  • wersja iOS
  • login i hasło do konta Snapchat
  • login i hasło do Pandora
  • model urządzenia
  • nazwa sieci komórkowej
  • informacje o stanie baterii
  • adres e-mail iCloud
  • nazwa sieci WiFi i BSSID
  • kod kraju
  • numer telefonu
  • zapytania API

Jak widać są do dane które w połączeniu mogą dać dość szczegółowe informacje o użytkowniku czy nawet uzyskać dostęp do jego konta w serwisie społecznościowym. Tutaj akurat nie jest pewien czy chodzi tylko o te podane serwisy czy każdy który dostaje zapytania przez API z dziurawej aplikacji.
Na podstawie danych z Apptopia stwierdzono, że ogólna liczba pobrań to mniej więcej 18 mln. Jak sami widzicie skala problemu może, a nawet jest bardzo duża. A może się jeszcze okazać, że skala problemu będzie jeszcze większa, bo pełne dane o podatności innych aplikacji będą dostępne za około 30-60 dni.

Tymczasowym rozwiązaniem tego problemu jest nieużywanie publicznych sieci WiFi jeśli podejrzewacie, że jedna z waszych aplikacji może mieć wcześniej wspomnianą podatność.

Pełną listę aplikacji możecie znaleźć w źródle. Ewentualnie z czasem będę aktualizował ten wpis.