1,000 आईओएस ऐप्स में गंभीर एसएसएल बग है:कैसे जांचें कि क्या आप प्रभावित हैं

सोर्सडीएनए, एक कोड एनालिटिक्स प्लेटफॉर्म जो एंड्रॉइड और आईओएस ऐप का ऑडिट करता है, ने हाल ही में एक रिपोर्ट जारी की है जिसमें संकेत मिलता है कि 1,000 से अधिक आईओएस ऐप में एक गंभीर सुरक्षा भेद्यता है जो उपयोगकर्ता के वित्तीय विवरण से समझौता कर सकती है।

बग ऐप्स को एसएसएल प्रमाणपत्रों को सही ढंग से प्रमाणित करने से रोकता है, जिससे ऐप्स कई मैन-इन-द-बीच हमलों तक खुल जाते हैं। हालांकि यह ऐप स्वयं iOS की सुरक्षा को प्रभावित नहीं करता है, लेकिन यह प्रभावित ऐप्स के माध्यम से प्रेषित उपयोगकर्ता डेटा से समझौता कर सकता है...

एक साधारण बग जो SSL को तोड़ता है

विचाराधीन बग AFNetworking पैकेज में है, जो एक लोकप्रिय ओपन-सोर्स नेटवर्किंग समाधान है जिसका उपयोग हजारों ऐप स्टोर ऐप्स में किया जाता है। बग एक साधारण तर्क त्रुटि है जो एसएसएल जांच को वास्तव में होने से रोकता है, सभी प्रमाणपत्र जांचों को मान्य के रूप में लौटाता है। यह हार्टब्लीड या शेलशॉक जैसी बड़ी सुरक्षा आपदा नहीं है - लेकिन यह एक समस्या है यदि आप किसी ऐसे ऐप का उपयोग करते हैं जिसमें बग है। सौभाग्य से, बग केवल छह सप्ताह के लिए अस्तित्व में था, 2.5.1 में जोड़ा गया, और 2.5.2 में तय किया गया। आप यथोचित रूप से मान सकते हैं कि यह कहानी का अंत है।

दुर्भाग्य से, नहीं।

अफसोस की बात है कि कई डेवलपर्स बग फिक्स के साथ अपने ऐप्स को सक्रिय रूप से अद्यतित नहीं रखते हैं, और ऐसे ऐप्स का एक समूह है जो पैच की उपलब्धता के बावजूद अभी भी AFNetworking के टूटे हुए संस्करण का उपयोग कर रहे हैं। SourceDNA ने 20,000 ऐप्स का विश्लेषण किया जिनमें AFNetworking पैकेज के संस्करण शामिल हैं, और यह निर्धारित किया कि लगभग 1,000 अभी भी टूटे हुए SSL चेक का उपयोग कर रहे हैं।

SourceDNA एनालिटिक्स टूल का उपयोग करके यह जांच करने में सक्षम था, जिससे हजारों ऐप्स की बाइनरी फाइलों का विश्लेषण करना संभव हो गया। उनकी तकनीक उन्हें न केवल यह पहचानने देती है कि इन ऐप्स को किन पुस्तकालयों के साथ संकलित किया गया था, बल्कि कौन से संस्करण उन पुस्तकालयों की। जैसा कि यह पता चला है, यह पहचानने के लिए अविश्वसनीय रूप से उपयोगी है कि कौन से ऐप्स ज्ञात बग और कमजोरियों से प्रभावित हो सकते हैं। जारी किए गए पेपर के अनुसार,

"सोर्सडीएनए ने संवेदनशील कोड खोजने के लिए उनसे एक अलग फिंगरप्रिंट बनाया। इसे अद्वितीय विशेषताओं के एक सेट के रूप में सोचें जो केवल लक्षित संस्करण में मौजूद या अनुपस्थित थे और इसके पहले या बाद में कोई अन्य नहीं। हस्ताक्षर के इस सेट के साथ, हमारा विश्लेषण इंजन हमें बताएगा कि प्रत्येक ऐप में AFNetworking का कौन सा संस्करण उपयोग में है। "

कई प्रभावित ऐप अलीबाबा.com मोबाइल ऐप, केवाईबैंकएजेंट 3.0 और रेवो रेस्टोरेंट पॉइंट ऑफ़ सेल सहित उपयोगकर्ता क्रेडिट कार्ड डेटा को स्टोर और ट्रांसमिट करते हैं। कई मिलियन उपयोगकर्ताओं के पास उनके आईओएस डिवाइस पर एक कमजोर ऐप इंस्टॉल है - इस तरह के एक संक्षिप्त बग से आश्चर्यजनक मात्रा में एक्सपोजर।

"5% या लगभग 1,000 ऐप्स में खामियां थीं। क्या ये ऐप्स महत्वपूर्ण हैं? हमने उनकी तुलना अपने रैंक डेटा से की और कुछ बड़े खिलाड़ी पाए:Yahoo!, Microsoft, Uber, Citrix, आदि। यह हमें आश्चर्यचकित करता है कि एक ओपन-सोर्स लाइब्रेरी जो लाखों exposed का पर्दाफाश करने के लिए केवल 6 सप्ताह के लिए एक सुरक्षा खामी पेश की प्रयोक्ताओं के आक्रमण के लिए।"

AFNetworking बग के प्रभाव का आकलन करना

यह भेद्यता कितनी खराब है? बग हमलावरों को ऐप्स को यह सोचकर मूर्ख बनाने की अनुमति देता है कि वे एक विश्वसनीय सर्वर के साथ सुरक्षित कनेक्शन पर संचार कर रहे हैं। यदि आप एक कमजोर ऐप का उपयोग कर रहे हैं, तो उसी वाईफाई नेटवर्क पर कोई भी व्यक्ति, जिसमें आप एक मैन-इन-द-मिडिल अटैक सेट कर सकते हैं और ऐप्स से जानकारी इंटरसेप्ट कर सकते हैं, जिसमें क्रेडिट कार्ड की जानकारी जैसे संवेदनशील डेटा शामिल हैं। इस जानकारी का उपयोग तब पहचान की चोरी और धोखाधड़ी के अन्य रूपों को सुविधाजनक बनाने के लिए किया जा सकता है। संभावित रूप से, इस तरह के हमले को लोकप्रिय ऐप्स को लक्षित करने के लिए स्वचालित किया जा सकता है।

माइक्रोसॉफ्ट और याहू सहित कई कंपनियों ने इस खबर के टूटने के बाद से अपडेट और सुधार किए हैं। हालाँकि, अधिकांश ऐप्स अप्रकाशित रहते हैं। यह देखने के लिए कि आपके द्वारा उपयोग किए जाने वाले ऐप्स प्रभावित हैं या नहीं, आप SourceDNA खोज टूल का उपयोग कर सकते हैं। यदि आपको पता चलता है कि आपका एक ऐप अभी भी असुरक्षित है, तो सबसे सुरक्षित रणनीति है इसे अस्थायी रूप से हटाना, और डेवलपर्स को संदेश भेजकर उन्हें जल्द से जल्द एक पैच लगाने के लिए कहना।

SourceDNA एक चतुर उपकरण है, और यह दर्शाता है कि उनकी तकनीक वास्तव में उपयोगी है। कंप्यूटर सुरक्षा कठिन है, और एक उपकरण जो बिना पैच वाले बग की तलाश की प्रक्रिया को स्वचालित कर सकता है - डेवलपर सहयोग के साथ या बिना - उपयोगकर्ता सुरक्षा के लिए एक बड़ी जीत है। इस तरह की जाँच के बिना, यह व्यापक बग शायद काफी लंबे समय तक बना रहता। इस तरह का विश्लेषण बड़े पैमाने पर सार्वजनिक शर्मिंदगी को सक्षम बनाता है जो डेवलपर्स को और अधिक जवाबदेह बनाता है, और ऐसा लगता है कि SourceDNA आगे और अनसुलझी और अनसुलझी समस्याओं को उजागर करेगा।

क्या आपका iOS डिवाइस AFNetworking बग से प्रभावित है? क्या आप इन नए एनालिटिक्स टूल से उत्साहित हैं? हमें टिप्पणियों में बताएं!

<छोटा>छवि क्रेडिट:"यूएस नेवी साइबरवारफेयर," "आईफोन फ्रंट, "आईफोन कैमरा", विकिमीडिया द्वारा