İsrailli güvenlik araştırmacıları, iPhone ve iPad'lerdeki birçok uygulama, kullanıcıya yanlış bilgi verebilecek Web tabanlı saldırılara karşı savunmasız durumda. 29).

Tel Aviv merkezli Skycure'den Adi Sharabani ve Yair Amit, Amsterdam'daki RSA Avrupa Konferansı'ndaki bir sunumda, uygulamaların internetten içerik topladığını göstereceklerdi. kötü amaçlı veya güvenliği ihlal edilmiş Wi-Fi ağı trafiğinin kötü amaçlı sunuculara yeniden yönlendirilmesini sağlayabilir.

Bu bir tür totolojik bir ifade - kötü bağlantılar kötü sonuçlara yol açabilir - ancak Skycure araştırmacıları HTTP "301" kullanarak uygulama içeriği isteklerinin kalıcı olarak kötü amaçlı sunuculara yeniden yönlendirilmesini sağlayabileceklerini buldular komut.

DAHA: Akıllı Telefonunuzu veya Tabletinizi Nasıl Güvende Tutabilirsiniz?

Bu, talepte bulunan istemciye talimat veren bir Web sunucusu tarafından verilen basit bir yanıttır - bu durumda, iOS uygulaması - bir sunucunun URL'sinin kalıcı olarak taşındığını ve gelecekteki tüm trafiği yeni URL'ye göndermek için yerine.

Tabii ki, gerçek sunucunun URL'si hiç değişmedi. 301 komutu, istekte bulunan uygulamanın yalnızca sahip olduğunu düşünmesini sağlamak için kötüye kullanılır.

Bir bilgisayarın Web tarayıcısında, bu o kadar da önemli bir şey değil. Kullanıcı adres çubuğuna baktığında, olmak istemediği bir yer olduğunu görürdü. Ancak Web sunucularına çağrı yapan mobil uygulamalar Web trafiğini kullanıcıya göstermez.

Skycure araştırmacıları, haberlerin ve borsa uygulamalarının güncel bilgiler için uzaktaki Web sunucularına sürekli çağrı yaptığını ve bu çağrıları başka bir yere yönlendirmenin kolay olacağını belirtti.

Amit, "Bir kurbanın uygulaması başarılı bir şekilde saldırıya uğrarsa, artık gerçek bir haber sağlayıcısından gelen haberleri değil, bunun yerine saldırganın sunucusu tarafından sağlanan sahte haberleri okuyor," diye yazdı Amit bir Skycure'un blogunda yayınlamak.

Skycure araştırma görevlilerinin "HTTP isteği kaçırma" olarak adlandırdığı bu istismar şu şekilde çalışacaktır: Bir iPhone kullanıcı bir Starbucks'a girer ve iOS haberlerindeki en son haberleri okumak için açık Wi-Fi ağına bağlanır app.

Bir aynı Wi-Fi ağındaki kötü niyetli korsan o uygulamadan gelen Wi-Fi trafiğini keser ve onu kontrol ettiği bir sunucuya yönlendirir.

Bu kötü amaçlı sunucu, uygulamanın gerçek içerik sunucusunu taklit eder, ancak uygulamaya gerçek içerik sunucusunun URL'sini kalıcı olarak kötü amaçlı sunucunun URL'sine taşıdı ve gelecekteki tüm içerik istekleri doğrudan bu yeni sunucuya gitmelidir URL.

Amit, Skycure blogunda "Bu bizi felsefi bir soruya getiriyor" diye yazdı. "Birisi sabah kalkıp iPhone'uyla haberleri okuduğunda, okuduğu raporların gerçek olduğundan ve bir bilgisayar korsanı tarafından yerleştirilmiş sahte olmadığından ne kadar emin olabilir?"

Skycure araştırmacıları birkaç iOS uygulamasını test etti ve yaklaşık yarısının HTTP isteği kaçırmaya karşı savunmasız olduğunu buldu. Hangi uygulamaların olduğunu açıklamıyorlar.

Blog yayınlarında ve sunum slaytlarıaraştırmacılar, sorunun Android, Windows Phone veya Windows RT gibi diğer mobil platformlardaki uygulamaları etkileyip etkilemediğini söylemedi. Ancak istismar dahili uygulama kodlamasına ve HTTP'ye dayandığından, diğer platformlardaki uygulamaların da etkilenmesi muhtemeldir.

Skycure araştırmacıları, tüm uygulama üreticilerinin içerik isteklerinin güvenli bir şekilde gönderildiğinden emin olmalarını tavsiye etti. HTTPS, güvenli olmayan bağlantılar, normal HTTP.

Bu, bazı kod değişiklikleriyle kalıcı olarak düzeltilmesi gereken sorunu tam olarak çözmez, ancak onu hafifletebilir.

İOS cihaz kullanıcıları - ve Android ve diğer mobil platform kullanıcıları - bu tür saldırılardan endişe duyuyor cihazlarını, güvenli olmayan Wi-Fi üzerinden bile güvenli bağlantılar oluşturacak VPN yazılımı ile donatmalıdır. ağlar.

Paul Wagenseil'i takip edin @hayalhanemersin. Tom's Guide'ı şurada takip edin: @tomsguide, üzerinde Facebook ve üzerinde Google+.

  • İPhone veya iPad'inizi Jailbreak Yapmanın 10 Artıları ve Eksileri
  • Üçüncü Taraf Android Güvenlik Uygulamasına Gerçekten İhtiyacınız Var mı?
  • 9 En İyi Mobil Güvenlik Yazılım Ürünleri

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.