برنامههای محبوب اپل از لحاظ امنیتی بررسی و مشخص شده است مستعد حملاتی هستند و تاکنون ۱۸ میلیون دانلود از این نرمافزارهای آسیبپذیر صورت گرفته است. بسیاری از این نرمافزارها از TLS (امنیت لایه انتقال) استفاده نمیکنند یا فعالیت آنها در حالت روشن نیز قابل رهگیری است. اسکن کد در اپاستور اپل به متخصصان امنیتی این اجازه را میدهد تا اطلاعات بیشتری درباره امنیت نرمافزارها جمعآوری کنند. در گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، به بررسی ۷۶ اپلیکیشن محبوب IOS در اپاستور اپل پرداخته شده که مستعد حملات MITM (مرد میانی) هستند. درمجموع تاکنون بیش از ۱۸ میلیون دانلود از این نرمافزارهای آسیبپذیر صورت گرفته است. درصد ریسک این آسیبپذیری که برای ۷۶ نرمافزار بررسی شده، به صورت ۳۳ نرمافزار با درجه ریسک پایین، ۲۴ نرمافزار با درجه ریسک متوسط و ۱۹ نرمافزار با درجه بالاست. برنامه ooVoo در قسمت ورود شامل نام کاربری و رمز عبور، برنامه VivaVideo در بخش نسخه سیستمعامل، مدل دستگاه و بخش جستوجو، برنامه Volify در بخش نسخه سیستمعامل، مدل دستگاه، نام نقطه اتصال به شبکه و اطلاعات باتری، برنامه Epic در بخش کلیدهای رمزنگاری، برنامه Mico در بخش آدرس ایمیل و نسخه سیستمعامل، برنامه Cash app در بخش نسخه سیستمعامل و نام نقطه اتصال شبکه، برنامه YeeCall Messenger در بخش آدرس ایمیل و شماره تلفن، برنامه Insta Repost در بخش اطلاعات تجزیه و تحلیلی، برنامه
Cheetah Browser در بخش نسخه سیستمعامل، مدل دستگاه، موقعیت مکانی، کلید تکمیل خودکار، برنامه VPN Free در بخش فهرست سرورها، اطلاعات سرورهای VPN و برنامه Music Tube در بخش فهرست ویدئوها و بخش جستوجو برنامههایی با درجه خطر پایین هستند. تعداد زیادی از برنامههای که ریسک متوسط و بالا دارند متعلق به بانکها، مراکز پزشکی و توسعهدهندگان برنامههای کاربردی حساس هستند. در این گزارش با توجه به اهمیت این اپلیکیشنها و جلوگیری از عدم سوءاستفاده از آنها، آسیبپذیریهای موجود را ارسال کرده است تا از این طریق توسعهدهندگان به رفع آنها بپردازند. از جمله این پروانهها میتوان به ShoreTel Mobility Client، ThreatMetrix SDK، Experian، myFICO، Kaspersky Safe Browser و PayPal اشاره کرد. این دسته از آسیبپذیریها در گروه پیچیده قرار میگیرند و فقط توسعهدهندگان قادر به حل کامل آنها هستند و هیچ کاری از کاربر ساخته نیست. ضعف امنیتی بررسیشده مربوط به کدهای شبکه در برنامه و پیکربندی اشتباه آنهاست. با توجه به ساختار کلی، سیستم App Transport Security در سیستمعامل iOS ارتباط را بهعنوان یک اتصال معتبر TLS میبیند و به نرمافزار اجازه میدهد از گواهینامه تأیید اعتبار آن استفاده کند. هیچ راهحلی برای این مشکل از سمت اپل وجود ندارد، زیرا اگر در نرمافزار از این حالت استفاده نکنند به خودی خود باعث کاهش امنیت میشوند. عدم استفاده از یک گواهی PKI امن و تأییدشده در شبکه اینترنت مشکلساز خواهد بود و برنامه قابلیت ارتباط با دیگر سرویسدهندهها را از دست میدهد. کاربرانی که از نرمافزارهای فوق استفاده میکنند باید توجه داشته باشند آسیبپذیری ذکرشده معمولا روی شبکههای Wi-Fi عمومی و رایگان انجام میشود. بههمیندلیل اگر در مکانهای عمومی مجبور به استفاده از نرمافزارهای مهم مانند اپلیکیشن بانک هستید Wi-Fi را خاموش کنید. در صورت نیاز به استفاده از اینترنت نیز از شبکه تلفن همراه استفاده کنید. در صورتی که به یک سازمان یا شرکت اپلیکیشن خاصی را پیشنهاد میکنید اول با استفاده از سرویسهایی مانند verify.ly آسیبپذیربودن آن را بررسی کنید. این عمل به منظور جلوگیری از بروز مشکلات در آینده بسیار کارساز است. توسعهدهندگان نیز هنگام نوشتن کدهای شبکه در برنامه باید مراقب رفتار نرمافزار خود باشند. بسیاری از آسیبپذیریها به علت عدم آشنایی کامل توسعهدهندگان با کد و کپیکردن آن از وب است.
امنیت برنامههای آیفون
صاحبخبر -