WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
[Update] 76 ứng dụng iOS không thể bảo vệ dữ liệu của người dùng
[Cập nhật ngày 10/2/2017]: Chuyên gia bảo mật Will Strafach dựa trên ứng dụng phân tích dịch vụ Verify.ly đã đưa ra danh sách 76 ứng dụng iOS phổ biến chứa lỗ hổng bảo mật man-in-the-middle có nguy cơ làm lộ thông tin người dùng.
Dưới đây là danh sách những ứng dụng có nguy cơ dính lỗ hổng man-in-the-middle:
Nguy cơ thấp:
ooVoo — Free Video Call, Text and Voice:
VivaVideo — Free Video Editor & Photo Movie Maker
Snap Upload for Snapchat — Send Photos & Videos
Uconnect Access
Volify — Free Online Music Streamer & MP3 Player
Uploader Free for Snapchat — Quick Upload Snap from Camera Roll.
Epic! — Unlimited Books for Kids
Mico — Chat, Meet New People
Safe Up for Snapchat — Quick Upload photos and videos from your camera roll
Tencent Cloud
Uploader for Snapchat — Quick Upload Pics & Videos to Snapchat.
Huawei HiLink (Mobile WiFi)
VICE News.
Trading 212 Forex & Stocks
CashApp — Cash Rewards App
[Clone of legitimate service] (Đã gỡ khỏi App Store từ ngày 7/2/2017)
1000 Friends for Snapchat — Get More Friends & Followers for Snapchat
YeeCall Messenger-Free Video Call&Conference Call
InstaRepost — Repost Videos & Photos for Instagram Free Whiz App
Loops Live
Privat24
Private Browser — Anonymous VPN Proxy Browser
Cheetah Browser
AMAN BANK
FirstBank PR Mobile Banking
vpn free — OvpnSpider for vpngate
Gift Saga — Free Gift Card & Cash Rewards
Vpn One Click Professional
Music tube — free imusic playlists from Youtube
AutoLotto: Powerball, MegaMillions Lottery Tickets
Foscam IP Camera Viewer by OWLR for Foscam IP Cams.
Code Scanner by ScanLife: QR and Barcode Reader
Những ứng dụng có nguy cơ trung bình hoặc cao, theo ông Strafact, thì sẽ được đăng tải trong vòng 60 – 90 ngày tới, sau khi liên lạc với các ngân hàng, nhà cung cấp dịch vụ y tế, các nhà phát triển những ứng dụng nhạy cảm bị ảnh hưởng. Hiện tại, danh sách này chỉ được cung cấp cho một số bên có liên quan vì lý do nhạy cảm.
---------------------------------------------------------------------------------------------------------
Hãng bảo mật Sudo vừa thông báo có tới 76 ứng dụng iOS tồn tại lỗ hổng có thể thực hiện tấn công đánh chặn dữ liệu.
Nhà phát triển các ứng dụng này đã vô tình cấu hình sai mã code mạng liên quan, vì vậy ứng dụng sẽ nhận một Transport Layer Security (TLS) không hợp lệ.
TLS được dùng để bảo đảm thông tin liên lạc của một ứng dụng trên internet. Nếu không có nó, một hacker có thể nghe trộm qua mạng để theo dõi dữ liệu mà ứng dụng gửi, chẳng hạn như thông tin đăng nhập.
Loại tấn công này có thể được thực hiện bởi bất kỳ đối tượng nào nằm trong vùng Wi-Fi mà thiết bị đang sử dụng, Đó có thể là bất cứ địa điểm công cộng nào, hoặc thậm chí trong nhà của bạn nếu một kẻ tấn công gần vùng có Wi-Fi.
76 ứng dụng Ios có lỗ hổng này được phát hiện qua dịch vụ an ninh được hãng này phát triển. Các ứng dụng được chạy trên iPhone với hệ điều hành iOS 10 sử dụng proxy để chèn TLS không hợp lệ vào trong kết nối.
43 ứng dụng được đánh giá nguy cơ ở mức cao và trung bình do có liên quan tới các thông tin đăng nhập và token xác thực. Một số các thông tin trong đó có liên quan tới các ngân hàng, nhà cung cấp dịch vụ y tế và các nhà phát triển ứng dụng nhạy cảm khác.
Cụ thể tên của những ứng dụng này chưa được công bố để có thời gian cho phía nhà phát triển đưa ra bản vá.
33 ứng dụng còn lại được cho là có mức nguy hiểm thấp hơn bởi chúng chỉ có nguy cơ làm tiết lộ thông tin nhạy cảm như địa chỉ email, dịch vụ nhắn tin miễn phí, các video được tải lên Snapchat và dịch vụ nghe nhạc. Hiện 76 ứng dụng iOS này đã có tới 18 triệu lượt tải.
Người sử dụng được khuyến cáo nên tắt Wi-Fi tại các khu vực công cộng. Việc này sẽ khiến điện thoại dùng kết nối động tới Internet khiến hacker khó có khả năng nghe lén hơn.
Dưới đây là danh sách những ứng dụng có nguy cơ dính lỗ hổng man-in-the-middle:
Nguy cơ thấp:
ooVoo — Free Video Call, Text and Voice:
VivaVideo — Free Video Editor & Photo Movie Maker
Snap Upload for Snapchat — Send Photos & Videos
Uconnect Access
Volify — Free Online Music Streamer & MP3 Player
Uploader Free for Snapchat — Quick Upload Snap from Camera Roll.
Epic! — Unlimited Books for Kids
Mico — Chat, Meet New People
Safe Up for Snapchat — Quick Upload photos and videos from your camera roll
Tencent Cloud
Uploader for Snapchat — Quick Upload Pics & Videos to Snapchat.
Huawei HiLink (Mobile WiFi)
VICE News.
Trading 212 Forex & Stocks
CashApp — Cash Rewards App
[Clone of legitimate service] (Đã gỡ khỏi App Store từ ngày 7/2/2017)
1000 Friends for Snapchat — Get More Friends & Followers for Snapchat
YeeCall Messenger-Free Video Call&Conference Call
InstaRepost — Repost Videos & Photos for Instagram Free Whiz App
Loops Live
Privat24
Private Browser — Anonymous VPN Proxy Browser
Cheetah Browser
AMAN BANK
FirstBank PR Mobile Banking
vpn free — OvpnSpider for vpngate
Gift Saga — Free Gift Card & Cash Rewards
Vpn One Click Professional
Music tube — free imusic playlists from Youtube
AutoLotto: Powerball, MegaMillions Lottery Tickets
Foscam IP Camera Viewer by OWLR for Foscam IP Cams.
Code Scanner by ScanLife: QR and Barcode Reader
Những ứng dụng có nguy cơ trung bình hoặc cao, theo ông Strafact, thì sẽ được đăng tải trong vòng 60 – 90 ngày tới, sau khi liên lạc với các ngân hàng, nhà cung cấp dịch vụ y tế, các nhà phát triển những ứng dụng nhạy cảm bị ảnh hưởng. Hiện tại, danh sách này chỉ được cung cấp cho một số bên có liên quan vì lý do nhạy cảm.
---------------------------------------------------------------------------------------------------------
Hãng bảo mật Sudo vừa thông báo có tới 76 ứng dụng iOS tồn tại lỗ hổng có thể thực hiện tấn công đánh chặn dữ liệu.
Nhà phát triển các ứng dụng này đã vô tình cấu hình sai mã code mạng liên quan, vì vậy ứng dụng sẽ nhận một Transport Layer Security (TLS) không hợp lệ.
TLS được dùng để bảo đảm thông tin liên lạc của một ứng dụng trên internet. Nếu không có nó, một hacker có thể nghe trộm qua mạng để theo dõi dữ liệu mà ứng dụng gửi, chẳng hạn như thông tin đăng nhập.
Loại tấn công này có thể được thực hiện bởi bất kỳ đối tượng nào nằm trong vùng Wi-Fi mà thiết bị đang sử dụng, Đó có thể là bất cứ địa điểm công cộng nào, hoặc thậm chí trong nhà của bạn nếu một kẻ tấn công gần vùng có Wi-Fi.
76 ứng dụng Ios có lỗ hổng này được phát hiện qua dịch vụ an ninh được hãng này phát triển. Các ứng dụng được chạy trên iPhone với hệ điều hành iOS 10 sử dụng proxy để chèn TLS không hợp lệ vào trong kết nối.
43 ứng dụng được đánh giá nguy cơ ở mức cao và trung bình do có liên quan tới các thông tin đăng nhập và token xác thực. Một số các thông tin trong đó có liên quan tới các ngân hàng, nhà cung cấp dịch vụ y tế và các nhà phát triển ứng dụng nhạy cảm khác.
Cụ thể tên của những ứng dụng này chưa được công bố để có thời gian cho phía nhà phát triển đưa ra bản vá.
33 ứng dụng còn lại được cho là có mức nguy hiểm thấp hơn bởi chúng chỉ có nguy cơ làm tiết lộ thông tin nhạy cảm như địa chỉ email, dịch vụ nhắn tin miễn phí, các video được tải lên Snapchat và dịch vụ nghe nhạc. Hiện 76 ứng dụng iOS này đã có tới 18 triệu lượt tải.
Người sử dụng được khuyến cáo nên tắt Wi-Fi tại các khu vực công cộng. Việc này sẽ khiến điện thoại dùng kết nối động tới Internet khiến hacker khó có khả năng nghe lén hơn.
Theo: ComputerWorld
Chỉnh sửa lần cuối bởi người điều hành: