Manu Pitkänen
21. huhtikuuta, 2015 14:38
Noin tuhannen iOS-sovelluksen on havaittu olevan haavoittuvia man-in-the-middle-tyyppiselle hyökkäykselle. Taustalla on HTTPS-yhteyksiin käytetyn AFNetworking-komponentissa ollut ohjelmointivirhe, jonka takia sovellukset eivät varmenna yhteyksiä. Haavoittuvuuden avulla ulkopuolinen hyökkäjä pääsee käsiksi sovelluksilla käytävään tiedonsiirtoon.
Koska kyse on kolmannen osapuolen tarjoamasta ohjelmistosta löytynyt haavoittuvuus, ei ongelma kosketa koko iOS:ää, vaan ainoastaan AFNetworkingia käyttäviä sovelluksia. Ohjelmointivirhe ilmestyi AFNetworkingiin vuoden alussa julkaistussa 2.5.1-versiossa eli sitä edeltävää versiota käyttävissa ohjelmissa tiedonsiirto tapahtuu turvallisesti. Korjauspäivitys julkaistiin maaliskuun lopussa, mutta kaikki kehittäjät eivät ole vielä ottaneet sitä käyttöön.
Vaikka ongelma koskettaakin kappalemääräisesti melko pientä osaa iOS-sovelluksista (joita on yhteensä yli 1,4 miljoonaa kappaletta), on noin tuhannella sovelluksella silti miljoonia käyttäjiä. Haavoittuvia sovelluksia on julkaissut muun muassa kyytipalvelu Uber ja Microsoft (OneDrive). Osassa tapauksissa ohjelmistokehittäjä on jo julkaissut korjauspäivityksen, mutta loppukäyttäjä ei ole välttämättä siirtynyt siihen.
Omien sovellusten tilanteen voi varmistaa SourceDNA:n luoman tarkistuspalvelun avulla.