חברת ניתוח בטיחות זיהתה באג בספריית רשת פופולרית עם קוד פתוח שעלולה להשאיר עד 1,500 אפליקציות בחנות האפליקציות iOS המועדות להתקפות זדוניות. הדו”ח על הבאג, שזוהה בחודש שעבר, טוען כי אפליקציות המשתמשות בגרסה מסוימת של ספריית ה- Afnetworking הפופולרית מאוד עשויה להיות סיכון למשתמשים על ידי חשיפת נתונים רגישים – כגון סיסמאות, מידע על חשבון בנק – והופכתם לזמינים לאלה עם מיומנות לנצל את הפגיעות.
הצד הבהיר של המצב הוא שקוד הקוד הפתוח המכיל את הפגיעות הנוגעת לתוקן כמעט מייד על ידי היזם שמאחורי הפרויקט, מה שמצביע על כך שכל הגשת אפליקציה עתידית המורכבת מספריה זו חייבת להיות בטוחה לשימוש. הצד הלא בהיר הוא שכ- 1,500 אפליקציות בחנות האפליקציות עדיין משתמשות בגרסה המועדת של הפרויקט. זה נובע מהעובדה שמפתחי האפליקציות המושפעות טרם ייבאו את הגרסה הקבועה הנוכחית של Afnetworking ו- Tribmit כעדכון.
Afnetworking הוא ללא ספק אחת האפשרויות הפופולריות ביותר של קוד פתוח בקרב מפתחים שמנסים למצוא אפשרות לא-קופסה לאפליקציות שהולכות ומחזירות נתונים מהאינטרנט. הפרויקט עצמו קיים כבר מספר שנים ומתואר כ”ספריית קוד קוד פתוח המאפשרת למפתחים להוריד יכולות רשת לאפליקציות שלהם “, כאשר הגרסה המושפעת מתאימה בינואר השנה. אפליקציות אלה עם הגרסה הבעייתית של הספרייה יהיו מועדות להתקפות איש-באמצע המאפשרת למעשה לאנשים זדוניים ליירט ולגשת לנתונים המוצפנים על ידי פרוטוקול HTTPS.
הודות לכלי קטן ונחמד המתגורר באינטרנט, ניתן לחפש את האפליקציות המושפעות כדי לראות אם התקנתם במכשיר ה- iOS שלכם. כלי בדיקת דוחות הבטיחות של iOS של Sourcedna מאפשר לאנשים לחפש את שם המפתח ולברר אם אחת מהאפליקציות שלהם משתמשות או לא, והאם האפליקציות הללו עם הספרייה המותקנות משתמשות בפועל בגרסה המועדת. אתה יכול לגשת לכלי על ידי מעבר אל: Searchlight.sourcedna.com/lookup
(דרך: Arstechnica)
אתה יכול לעקוב אחרינו בטוויטר, להוסיף אותנו למעגל שלך ב- Google+ או לאהוב את עמוד הפייסבוק שלנו כדי לעדכן את עצמך על כל הזרם ממיקרוסופט, גוגל, אפל והאינטרנט.