среда, 18 марта 2015 г.

Сотни приложений для Android и iOS все еще остаются уязвимыми к FREAK-атакам

Брешь затрагивает приложения различных категорий, в том числе финансовые, торговые, медицинские и пр.
Сотни приложений для Android и iOS все еще остаются уязвимыми к FREAK-атакам, позволяющим злоумышленникам скомпрометировать зашифрованные данные, подчеркивают специалисты ИБ-компании FireEye в своем блоге.
image
Эксперты не указывают конкретных названий, но отмечают, что брешь затрагивает приложения различных категорий, в том числе финансовые, торговые, медицинские и пр. В своем анализе сотрудники FireEye акцентируют внимание на том факте, что зачастую исправление даже самых известных и опасных уязвимостей может занять довольно долгое время. Бездействие разработчиков программ ставит под угрозу конфиденциальную информацию пользователей, в мобильных устройствах которых установлены уязвимые приложения.
По состоянию на 4 марта этого года, отмечают исследователи, последние версии платформ Android и iOS все еще оставались уязвимыми к FREAK-атакам. FREAK является уязвимостью как платформы, так и приложения, поскольку и Android, и iOS-программы могут сами содержать уязвимые библиотеки OpenSSL. Даже после того, как вендоры реализуют исправления в Android и iOS, подобные приложения по-прежнему будут оставаться уязвимыми к FREAK при соединении с серверами, принимающим криптонаборы RSA_EXPORT. Именно поэтому некоторые iOS-приложения могут быть уязвимыми даже после того, как Apple исправила брешь в версии платформы 8.2.
Эксперты проанализировали 10 985 популярных Android-приложений из магазина Google Play. Как оказалось, 11,2% (1228) из них уязвимы к FREAK-атакам из-за использования библиотек OpenSSL для соединения с HTTPS-серверами.
Что касается iOS, 771 (5,5%) приложение из 14 079 подключается к уязвимым HTTPS-серверам. Уязвимыми к FREAK-атакам являются программы для iOS версии ниже 8.2. Стоит отметить, что 7 приложений из 771 содержат собственные библиотеки OpenSSL и, таким образом, остаются уязвимыми даже на iOS 8.2.

Источник:  securitylab.ru

Комментариев нет:

Отправить комментарий