Aiemmin uutisoitu haavoittuvuus kosketti vain tämän vuoden alussa julkaistua AFNetworkingin versiota (2.5.2), mutta tuorein haavoittuvuus koskettaa ohjelmiston kaikkia 2.x-versioita uusinta 2.5.3:a lukuun ottamatta. Haavoittuvuuden takia ohjelmat eivät tarkista vastaako suojaussertifikaatissa määritelty verkko-osoite siihen osoitteeseen, johon se ottaa yhteyttä.
Tämä antaa pahaa tahtoville hyökkääjille oivan mahdollisuuden salakuunnella sovellusten välittämän tietoliikenteen, mikä esimerkiksi pankkisovellusten kohdalla voi olla hyvinkin arkaluontoista. Arviolta 25 000 iOS-sovellusta on alttiina haavoittuvuudelle.
Koska kyse on kolmannen osapuolen kehittämästä ohjelmistosta, ei haavoittuvuus kosketa iOS:ää järjestelmätasolla.
Kommentit (1)
Anko tämä käytössä pankkisovelluksissa ja ilmen ohjelman muuta sisäistä vastapään tarkistusta?