Опасная уязвимость в библиотеке AFNetworking SSL

 Обнаружена опасная уязвимость в использовании библиотеки AFNetworking SSL. Выключенный по умолчанию флаг, требующий проверять доменное имя при установлении SSL-соединения, приводил к тому, что любой сертификат, предъявленный сервером в процессе установления SSL-соединения, считался достоверным. Злоумышленник мог организовать атаку Man-in-the-Middle, подставив любой сертификат, подписанный доверенным УЦ, который можно приобрести за сумму порядка 50 долларов.

По сообщению компании SourceDNA, занимающейся безопасностью приложений для iOS и Android, обнаруженная уязвимость может затрагивать до 25000 приложений. Предыдущая уязвимость в этой библиотеке версии 2.5.1 (безусловный приём самоподписанного сертификата) потенциально затрагивала 1500 приложений. Уязвимость исправлена в версии библиотеки 2.5.3.

Компания SourceDNA предоставляет веб-интерфейс для проверки приложений на уязвимости.

searchlight.sourcedna.com/lookup

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Опасная уязвимость в библиотеке AFNetworking SSL