Уязвимость в Apple Music для Android расскрывает данные пользователя

Выпущенное на этой неделе обновление приложения для Android Apple Music, устраняет уязвимость проверки сертификата, которая может быть использована для перехвата конфиденциальных данных.

Согласно Google Play, Apple Music для Android установили от 10 до 50 миллионов раз. В новой версии 2.0 пользователи получат новый дизайн и функции. В дополнение к этому, обновление исправляет брешь в безопасности, которая может позволить злоумышленнику получить информацию о пользователе (атака man-in-the-middle).

Об уязвимости Apple сообщил Дэвид Кумбер (David Coomber) из Info-Sec. Она получила идентификатор CVE-2017-2387 и затрагивает Apple Music версии 1.2.1 и более ранние.

В опубликованном на этой неделе сообщении, эксперт утверждает, что в январе просил Apple обновить статус относительно исправления этой уязвимости. На это компания ответила, что все еще работает над устранением.

Проблема, по мнению исследователя, заключалась в том, что приложение не проверяло SSL-сертификаты, полученные при подключении к серверам.

«Злоумышленник просто может подставить поддельный сертификат, которое приложение молча примет. Благодаря этой схеме хакер может получить конфиденциальную информацию пользователя» - пояснил Кумбер в своем сообщении.