Ytterligare en bugg inom https-trafik, som används för krypterad datatrafik, har hittats och den här gången kan det vara 25000, och upp till 50000, iOS-appar som är drabbade. Problemet kan göra det möjligt för avlyssning och förändring av data-trafik mellan appar och servrar. Bland de appar som kan vara öppna för buggen finns bland annat flera svenska bankapplikationer.
Problemet ligger i funktionsbiblioteket AFNetworking, som används av många iOS-applikationer för att hantera nätverkstrafik. Paketet utvecklas som öppen källkod och en utvecklare har redan lanserat en ny version där man spärrat möjligheten att utnyttja problemet. Det krävs nu att utvecklare uppgraderar sina applikationer för att inkludera den nya versionen av AFNetworking.
Säkerhetsbristen i AFNetworking gör det möjligt för angripare att använda vilket godkänt SSL-certifikat som helst för att dekryptera trafik som skickas över https. Detta görs möjligt om angripare kan placera sig mellan användaren och servern och snappa upp trafiken.
Det här är en så kallad man-in-the-middle-attack. Exempel på när angripare kan utnyttja det är genom att kontrollera öppna WiFi-nätverk (vilket är lätt på flygplatser, hotell, butiker och andra offentliga platser med mycket folk), personer som jobbar hos Internetleverantörer eller VPN-tjänster, eller statliga hackare som har tillgång till knytpunkter för Internet. (Källa: ArsTechnica)
Kan angriparna placera sig mellan användare och server på det här sättet, kan de alltså lyckas avlyssna och modifiera den trafik som skickas. Då går det alltså att snappa upp lösenord och annat, styra om trafik till falska sajter och så vidare.
Säkerhetsföretaget SourceDNA har tagit fram en söktjänst där du kan kontrollera huruvida apparna du använder dig av, kör den äldre versionen av AFNetworking som troligtvis innehåller buggen. Jag sökte på olika svenska banker för att se huruvida SourceDNA rapportera dem som säkra eller osäkra.
Swedbanks iOS-app är en av de applikationer som kan innehålla säkerhetshålet.
Nu ska det understrykas att sökmotorn kan ge en del så kallade False-Positive, vilket betyder att de som rapporterats innehålla buggen kanske inte gör det.
Osäkra
- Swedbank
- Nordea
- Handelsbanken
- Länsförsäkringar Bank
- ICA Banken
Säkra
- SEB
- Volvofinans Bank
- Skandiabanken
- Ikano Bank
- Nordnet
- Avanza
- Resurs Bank
- Forex Bank
Rekommendationen är att kontrollera så att du använder de senaste versionerna av dina väsentliga applikationer. Och ha i åtanken att du inte använder dig av öppna WiFi-nät hur som helst. Om du ofta använder öppna WiFi-nät bör du skaffa en bra VPN-tjänst som säkrar dig – F-Secure Freedome finns även för iOS.
