В прошлом месяце исследователи сообщили о наличии уязвимости FREAK в криптографическом пакете OpenSSL, предназначенном для работы с протоколами SSL/TLS (Secure Sockets Layer/Transport Security Layer). Эта уязвимость целенаправленно создавалась в 90-х годах американскими производителями программного обеспечения, поставляющими свои продукты за границу. Благодаря ей можно вынудить приложения использовать 512-битные ключи шифрования вместо применяемых сейчас 2048-битных. В результате такие ключи можно взломать, запустив специальное ПО на публичных облачных сервисах.
Apple уже выпустила патч для своих операционных систем, однако обновления требуются также отдельным приложениям. Компания SourceDNA проанализировала каталог App Store и установила, что из рассмотренных приложений уязвимы около 1500. Часть из них использует стандартную библиотеку OpenSSL, другие – собственные версии.
По мнению исследователей, использование уязвимости FREAK несёт угрозу безопасности и приватности пользователей мобильных приложений. Уязвимость существует в приложениях множества категорий, включая финансы, коммуникации, покупки, бизнес, медицину. Для OpenSSL только за последний год это не первая найденная масштабная уязвимость: до неё были Heartbleed и POODLE.
Компания SourceDNA запустила собственный интернет-сервис, позволяющий определить наличие опасной уязвимости в приложениях. По словам исследователей, чаще всего атакам подвергаются мобильные клиенты, связанные с банковскими и другими финансовыми операциями. Кроме того, особый интерес для злоумышленников представляют медицинские и офисные приложения. Однако целью кибермошенников может стать и «угон» аккаунтов в Facebook, ВКонтакте и других социальных сетях.
Взято с macdigger.ru