76 iOS-приложений страдают от уязвимости из-за ошибки разработчиков

76 iOS-приложений страдают от уязвимости из-за ошибки разработчиков

76 iOS-приложений страдают от уязвимости из-за ошибки разработчиков

Семьдесят шесть iOS-приложений, суммарное количество загрузок которых достигает 18 миллионов, уязвимы по причине того, что их зашифрованный HTTPS-трафик может быть скомпрометирован.

Проблему обнаружил эксперт Sudo Security Уилл Стрэфэч (Will Strafach), он утверждает, что разработчики приложений неправильно обращаются с проверкой TLS-сертификата.

«Проблема существует из-за неправильного кода, используемого в процессе разработки. В частности, речь идет о коде для проверки TLS. Обычно его нельзя трогать, однако некоторые разработчики (будем надеяться, что случайно) в своих приложениях отменили проверку» - поясняет Стрэфэч.

Результат анализа эксперта показал, что в конечном итоге 33 приложения имеют низкий уровень уязвимости, 24 средний уровень и еще 19 высокий. Исследователь подчеркнул, что без ответов от разработчиков будет трудно понять, почему эти ошибки появились в их приложениях. Возможно, что разработчики сделали это во время тестирования и забыли исправить при релизе.

На данный момент эксперт не разглашает, какие именно приложения ставят под угрозу пользователей. Это дает разработчикам от 60 до 90 дней, чтобы исправить ситуацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Картель Эль Чапо шпионил за ФБР через хакера у посольства в Мехико

В 2018 году мексиканский наркокартель Синалоа, возглавляемый уже тогда легендарным наркобароном Хоакином «Эль Чапо» Гусманом, нанял хакера, чтобы следить за посольством США в Мехико. Цель — вычислить «интересующих» картель людей, которых можно было бы запугать или устранить.

Это не сценарий Netflix-сериала, а реальный инцидент, который недавно раскрыло Управление генинспектора Минюста США в своём отчёте.

По данным отчёта (PDF), всё происходило в тот момент, когда ФБР активно вело расследование, которое в итоге привело к аресту Эль Чапо. Кто-то из окружения картеля предупредил агентов: мафия наняла хакера, и тот уже «предлагает целое меню» по взлому телефонов и других гаджетов.

И это не просто слова — хакер действительно смог следить за сотрудниками, посещающими посольство США. В частности, за помощником юриста ФБР — это сотрудник, который координирует действия между ФБР и местной полицией. Он получил доступ к номеру телефона этого сотрудника и каким-то образом начал собирать данные о его звонках и передвижениях.

Но и это ещё не всё. Хакер умудрился подключиться к системе городских камер Мехико и отслеживать маршрут американского агента, а также фиксировать, с кем тот встречается. По данным следствия, картель использовал эту информацию, чтобы устрашать или устранять потенциальных свидетелей.

Комментариев от Минюста и ФБР пока нет. А жаль — вопросов хватает.

Вообще, Мексика уже давно стала передовой лабораторией по части шпионажа — как со стороны государства, так и преступников. Местные власти закупали шпионские технологии у скандально известных компаний вроде Hacking Team и NSO Group — официально, чтобы бороться с наркокартелями. Но, как известно, достаётся и журналистам, и правозащитникам.

Сами картели тоже не отстают. У них — зашифрованные телефоны, свои сети связи и, как сообщал Vice, доступ к ПО правоохранительных органов, которое они используют против конкурентов и для сокрытия преступлений.

Кстати, хакеры у картелей — давно не новость. Ещё в 2015 году Motherboard писал о «хакерской бригаде», работавшей на наркобизнес. Один из таких специалистов в итоге помог арестовать высокопоставленного члена картеля Синалоа — Дамасо Лопеса Нуньеса. Что иронично — изначально его нанимали, чтобы взломать тюрьму, где тогда сидел Эль Чапо.

Мораль? Преступный мир уже давно пользуется теми же технологиями, что и силовики. Только делает это молча, эффективно и — порой — раньше, чем государство успевает отреагировать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru