Уязвимость позволяет атакующему перехватывать персональные данные или SSL-соединения.
Спустя несколько недель после раскрытия позволявшей осуществить атаку «человек посередине» бреши в популярной библиотеке AFNetworking, специалисты SourceDNA обнаружили вторую подобную уязвимость. Брешь затрагивает порядка 25 тыс. iOS-приложений.
Новая проблема, выявленная спустя всего сутки после исправления первой, связана с процессом проверки подлинности цифровых сертификатов. Как оказалось, в AFNetworking установлен флаг, по умолчанию отключающий доменную верификацию. Это значит, что уязвимое приложение без проблем примет любой валидный сертификат, используемый злоумышленником.
По словам экспертов, брешь содержится в той же части кода, что и предыдущая. Уязвимость позволяет атакующему перехватывать персональные данные или SSL-соединения. Поскольку доменное имя не проверяется, все, что нужно злоумышленнику для осуществления атаки – подлинный SSL-сертификат любого web-сервера, который можно купить всего за $50.
«Мы были удивлены, увидев эту уязвимость в версии 2.5.2., и удивились вдвойне, когда поняли, что эта проблема уже была исправлена спустя день после устранения предыдущей бреши. Похоже, никто так и не заметил, что исправление не включили в версию 2.5.2», - отметили специалисты в своем блоге.
Данная уязвимость уже устранена в версии AFNetworking 2.5.3.
Гравитация научных фактов сильнее, чем вы думаете