Отчет: 76 приложений для iOS подвергают пользователей риску перехвата данных хакерами

В новом отчете компании Sudo Security Group, занимающейся мобильной безопасностью, обнаружены уязвимости 76 приложений для iOS, которые могут позволить хакерам перехватить конфиденциальные финансовые данные или данные о состоянии здоровья, отправленные по Wi-Fi.

Мы говорим о популярных приложениях для бесплатных видеозвонков, получения денежных вознаграждений и мобильного банкинга, а также о пяти приложениях, ориентированных исключительно на популярную социальную сеть Snapchat!

Подробнее: Отчет: 1 миллион аккаунтов Google взломан новым вредоносным ПО

Уязвимости атаки Man-in-the-Middle

Уилл Страфах из Sudo Security Group пишет в своем последнем блоге, что он обнаружил десятки приложений, которые могут быть поражены так называемыми атаками перехвата данных «человек посередине».

Такие атаки позволили бы хакерам расшифровать данные, отправленные по беспроводной сети, из-за сбоя в коде, когда разработчики приложений создавали эти приложения.

Хорошая новость заключается в том, что 33 из обнаруженных Страфахом взломанных приложений для iOS имели уязвимость с низким уровнем риска.

Согласно Sudo Security Group, для этих приложений (перечисленных ниже) существует опасность того, что хакеры могут потенциально перехватить аналитические данные вашего мобильного устройства, адрес электронной почты или учетные данные для входа.

• ooVooâ € Š — â € Š Бесплатные видеозвонки, текст и голос: имя пользователя и пароль уязвимы для перехвата. Это также было задокументировано в 2013 году Ником Арноттом.
• VivaVideo ™ Free Video Editor & Photo Movie Maker: версия ОС, модель устройства и поисковые запросы уязвимы для перехвата.
• Snap Upload для Snapchat – Отправка фото и видео: имя пользователя и пароль Snapchat отправляются на sc.apparser.com и уязвимы для перехвата. Мы отметили аналогичное поведение в марте 2016 года в приложениях iOS, которые содержат те же функции.
• Доступ к Uconnect: имя пользователя, имя пользователя / пароль Pandora (во время начальной настройки) и имя пользователя / пароль Slacker Radio (во время начальной настройки) уязвимы для перехвата. Подтверждено, что API входа в систему правильно проверяет сертификаты, поэтому маловероятно, что злоумышленник может использовать эту уязвимость, чтобы вызвать какие-либо проблемы для вашего автомобиля.
• Volify ™ • Бесплатный онлайн-музыкальный стример и MP3-плеер: версия ОС, модель устройства, имя сотовой сети и информация о батарее уязвимы для перехвата.
• Бесплатный загрузчик для Snapchat – Быстрая загрузка снимков из камеры: он содержит большую часть того же кода, что и приведенное выше приложение «Snap Upload for Snapchat – Отправка фотографий и видео », хотя и с немного другим пользовательским интерфейсом. Эти же данные уязвимы для перехвата.
• Epic! • Неограниченное количество книг для детей: ключи шифрования уязвимы для перехвата. Скорее всего, не будет никаких неблагоприятных последствий для конечного пользователя в результате перехвата, поскольку ключи, скорее всего, будут связаны с DRM.
• Micoâ € Š — â € ŠChat, Знакомьтесь с новыми людьми: адрес электронной почты и версия ОС уязвимы для перехвата.
• Безопасное размещение для Snapchat… Быстрая загрузка фото и видео из вашей камеры: имя пользователя и пароль Snapchat отправляются на api.uapptrack.com и уязвимы для перехвата.
• Tencent Cloud: аналитическая информация (замаскированная) уязвима для перехвата.
• Загрузчик для Snapchat – Быстрая загрузка фото и видео в Snapchat: он содержит большую часть того же кода, что и приведенное выше приложение «Snap Upload for Snapchat – Отправка фото и видео », хотя и с немного другим пользовательским интерфейсом. Эти же данные уязвимы для перехвата.
• Huawei HiLink (Mobile WiFi): версия ОС и модель устройства уязвимы для перехвата.
• Новости VICE: версия ОС, модель устройства и вызовы собственных API уязвимы для перехвата.
• Trading 212 Forex & Stocks: Имя пользователя уязвимо для перехвата. Подтверждено, что API входа в систему правильно проверяет сертификаты, поэтому пароль неуязвим для перехвата.
• é € “ç› æ—… 游-è® ¢ œºç ¥ ¨é… ‘åº – ç «è½¦ç ¥ ¨æ ± ½è½¦ç ¥ ¨ç ‰ ¹ä» · æ—… è¡Œ: Версия ОС, модель устройства, имя сети Wi-Fi и BSSID сети Wi-Fi уязвимы для перехвата.
• Приложение CashApp ™ Cash Rewards: версия ОС и имя сотовой сети уязвимы для перехвата.
• [Клон легитимной службы] (удален из App Store с 7 февраля 2017 г.): версия ОС, модель устройства, код мобильной сети и код страны для мобильных устройств уязвимы для перехвата. (Обновление: это приложение неправомерно использовало товарный знак законной службы, к которой оно не имеет отношения… Название было удалено, чтобы избежать путаницы).
• 1000 друзей для Snapchat – получите больше друзей и подписчиков для Snapchat: он содержит большую часть того же кода, что и приведенное выше приложение «Safe Up for Snapchat – – Быстрая загрузка фотографий и видео из вашей фотопленки », хотя и с немного другой пользовательский интерфейс. Эти же данные уязвимы для перехвата.
• Видеозвонок и конференц-связь без посыльного YeeCall: адрес электронной почты и номер телефона уязвимы для перехвата.
• InstaRepost – репост видео и фото для бесплатного приложения Whiz Instagram: аналитическая информация (скрытая) уязвима для перехвата.
• Loops Live: код мобильной сети и мобильный код страны уязвимы для перехвата.
• Privat24: Версия ОС и Модель устройства уязвимы для перехвата. Подтверждено, что API входа в систему правильно проверяет сертификаты, поэтому пароль неуязвим для перехвата.
• Частный браузер – анонимный VPN-прокси-браузер: данные Facebook Analytics и вызовы собственных API уязвимы для перехвата. Полезные данные вызовов API кажутся запутанными, возможно, здесь можно найти дополнительные данные.
• Браузер Cheetah: версия ОС, модель устройства, местоположение по GPS и нажатие клавиш автозаполнения (Google + Baidu) уязвимы для перехвата.
• AMAN BANK: общие вызовы API (такие как ATM Locator) уязвимы для перехвата. В этом приложении не может быть функциональных возможностей «Вход», поэтому возможность перехвата учетных данных остается неясной.
• FirstBank PR Mobile Banking: вызов API проверки версии приложения уязвим для перехвата. Подтверждено, что API входа в систему правильно проверяет сертификаты, поэтому пароль не уязвим для перехвата.
• vpn free… OvpnSpider для vpngate: список серверов VPN и информация о серверах VPN уязвимы для перехвата и манипуляций.
• Gift Saga – бесплатная подарочная карта и денежные вознаграждения: версия ОС, модель устройства, код мобильной сети и мобильный код страны уязвимы для перехвата.
• Vpn One Click Professional: список серверов VPN, информация о сервере VPN и прямые ссылки для загрузки Mobileconfig уязвимы для перехвата и манипуляций.
• Музыкальная трубка… Бесплатные музыкальные плейлисты с Youtube: список видео и поисковые запросы уязвимы для перехвата.
• AutoLotto: Powerball, лотерейные билеты MegaMillions: вызовы API (например, получение даты / времени розыгрыша) уязвимы для перехвата.
• Программа просмотра IP-камер Foscam от OWLR для IP-камер Foscam: вызовы API уязвимы для перехвата.
• Сканер кода от ScanLife: Считыватель QR и штрих-кода: версия ОС, модель устройства, код мобильной сети, мобильный код страны и список маяков уязвимы для перехвата.

Здесь есть большая проблема

Большая проблема здесь связана с оставшимися приложениями iOS, не включенными в этот список.

Двадцать четыре из этих приложений имеют средний риск уязвимости, что указывает на «подтвержденную возможность» для хакеров получить ваши учетные данные для входа и / или токены аутентификации сеанса для вошедших в систему пользователей.

Девятнадцать других приложений, не перечисленных здесь, считаются подверженными высокому риску уязвимости, что означает, что хакеры имеют «подтвержденную способность» перехватывать медицинскую и финансовую информацию по своему желанию.

Strafach не раскрыл названия этих приложений со средней и высокой степенью уязвимости из-за очевидных проблем с безопасностью.

Его группа сейчас связывается с поставщиками медицинских услуг, банками и другими лицами, внесенными в этот секретный список, чтобы они могли закрыть дыры в коде своего приложения.

Что вы можете сделать с этой проблемой?

Apple хочет, чтобы разработчики использовали протокол App Transport Security (ATS) для решения этой проблемы, хотя Wired отмечает, что это само по себе не решит проблем с проверкой сертификатов.

Между тем, все мы слышали совет не совершать конфиденциальные медицинские или финансовые операции на своем телефоне, когда вы пользуетесь общедоступным Wi-Fi. Страфах говорит, что если вам нужно проверять свой банковский счет, когда вы в пути, обязательно выключите Wi-Fi и используйте сотовую сеть.

Хотя хакеры могут взломать сотовую сеть, вероятность того, что они это сделают, гораздо ниже.

Вот еще несколько способов обезопасить себя:

Обновляйте свою операционную систему

Всегда устанавливайте последние обновления программного обеспечения из своей операционной системы. Они часто включают обновления безопасности и защиты, которые помогают защитить ваше устройство.

Не связывайтесь со своей ОС

Не поддавайтесь искушению подурачиться с вашей операционной системой. Люди иногда возятся со своей ОС, пытаясь загрузить приложения, которые не санкционированы. Не делай этого!

Не нажимайте на странные тексты

Пользователи Android испугались в прошлом году, когда появилось сообщение о том, что они могут быть взломаны с помощью текстового сообщения.

Критически относитесь к текстовым сообщениям из вашего банка

Возможно, вы подписались на СМС из своего банка. Но затем приходит текст, которого вы не ожидали, со ссылкой, по которой вы можете щелкнуть, чтобы обновить свою информацию. Чем ты занимаешься?

Хотя это может быть законным, лучше всего перестраховаться. Отойдите от телефона, войдите в безопасную сеть (желательно с компьютера с хорошим антивирусным ПО) и войдите на официальный сайт вашего банка. Если текст из вашего банка был законным, вы должны увидеть такой же запрос на предоставление вашей информации на официальном сайте банка. Затем вы можете дать им любую информацию, которую они просят. 

Доверяйте загрузкам только напрямую с финансовых сайтов

Когда дело доходит до загрузки приложений мобильного банкинга, убедитесь, что вы устанавливаете только официальные приложения своего банка, кредитного союза или брокерской фирмы, которые вы найдете на их сайтах.

Тщательно проверяйте свои заявления

Ежедневно просматривайте свою банковскую выписку построчно. Немедленно сообщайте о любых подозрительных обвинениях.

Иметь разные пароли для каждого финансового сайта

Вам понадобится уникальный пароль для каждого финансового счета, который у вас есть: банка, кредитного союза, брокерского счета и т.д. Таким образом, если один будет скомпрометирован, у мошенников не будет автоматического доступа ко всем финансовым счетам в вашей жизни. Вот семь способов создать более безопасные пароли для всех ваших учетных записей.

Подробнее: Получите бесплатный iPhone 7 с новым безлимитным тарифным планом Verizon

Предупреждение безопасности: взлом мобильного банкинга

: Источник предупреждение безопасности: Мобильный банкинг хак от Кларка на Rumble

Источник записи: https://clark.com