nhà nghiên cứu bảo mật Adi Sharabani Và Yair Amit đã tiết lộ chi tiết về một lỗ hổng phổ biến trong iOS ứng dụng, có thể cho phép tin tặc buộc ứng dụng gửi và nhận dữ liệu từ máy chủ của chính tin tặc thay vì máy chủ hợp pháp mà chúng được mã hóa để kết nối.
Phát biểu về vấn đề tại Hội nghị RSA Châu Âu 2013 ở Amsterdam, các nhà nghiên cứu đã cung cấp thông tin chi tiết về lỗ hổng này, bắt nguồn từ cách tiếp cận thường được sử dụng đối với bộ nhớ đệm URL.
Trình diễn cho thấy rằng các mạng công cộng không an toàn cũng có thể cung cấp quyền truy cập bí mật vào iOS ứng dụng cho những kẻ tấn công tiềm năng bằng cách sử dụng Chiếm quyền điều khiển yêu cầu HTTP các phương pháp.
Các nhà nghiên cứu đã tổng hợp một đoạn video ngắn minh họa, trong đó họ sử dụng cái được gọi là lệnh 301 để chuyển hướng luồng lưu lượng truy cập từ ứng dụng đến máy chủ của nhà sản xuất ứng dụng đến máy chủ của kẻ tấn công.
Ngoài ra còn có hai hạn chế, đó là kẻ tấn công cần phải ở gần nạn nhân để đầu độc ban đầu thực hiện cuộc tấn công này và lỗ hổng chỉ hoạt động đối với lưu lượng HTTP.
“Một nạn nhân bước vào Starbucks, kết nối với Wi-Fi và sử dụng các ứng dụng yêu thích của cô ấy,” giải thích một ví dụ.”Mọi thứ trông và hoạt động như bình thường, tuy nhiên, kẻ tấn công đang ngồi ở bàn gần đó và thực hiện một cuộc tấn công HRH thầm lặng vào các ứng dụng của cô ấy. Ngày hôm sau, cô ấy thức dậy ở nhà và đăng nhập để đọc tin tức, nhưng bây giờ cô ấy đang đọc tin tức của kẻ tấn công!“
Họ ước tính rằng ít nhất 10.000 iOS các ứng dụng trong Apple App Store dễ bị tấn công. Do đó, các ứng dụng hiển thị tin tức, báo giá chứng khoán, nội dung mạng xã hội hoặc thậm chí một số chi tiết ngân hàng trực tuyến có thể bị thao túng để hiển thị thông tin lừa đảo và chặn dữ liệu do người dùng cuối gửi.
Nạn nhân có thể gỡ cài đặt ứng dụng để xóa sạch thiết bị của họ và Skycure đã phát hành mã ứng dụng ngăn quá trình lưu vào bộ nhớ đệm trên web diễn ra. Có thể mất một thời gian cho đến khi các nhà phát triển có thể triển khai bản sửa lỗi này, vì vậy hãy hết sức thận trọng khi kết nối với các mạng công cộng đó.
Swati Khandelwal – Làm việc tại ‘The Hacker News’. Người yêu mạng xã hội và cô gái tiện ích. Diễn giả, Chuyên gia An ninh mạng và Nhà văn Kỹ thuật.(Hồ sơ trên Google+)
