Принято считать, что устройства на платформе iOS имеют лучшую защиту, однако приложения и сервисы для этой платформы безопасны ровно настолько, насколько этого хотят их разработчики. Совсем недавно стало известно, что 1 500 программ для iOS содержат HTTPS-уязвимость, а значит злоумышленники могут перехватить пароль пользователя, а также украсть номера банковских счетов и другую важную конфиденциальную информацию. Эта уязвимость напрямую связана с использованием старой версии библиотеки AFNetworking с открытым кодом, которая позволяет разработчикам интегрировать сетевые возможности в свои приложения.

В свою очередь разработчики AFNetworking уже выпустили патч, направленный на решение этой проблемы, однако многие приложения с данной уязвимостью ещё не обновились до новой версии AFNetworking 2.5.2.

Среди приложений, которые по-прежнему подвержены уязвимости, упоминаются и достаточно популярные, такие как Citrix OpenVoice Audio Conference, Alibaba, Movies от Flixster, KYBankAgent 3.0, и многие другие. Для того чтобы воспользоваться уязвимостью, хакерам достаточно будет лишь представить приложению фальшивые сертификаты. В условиях стабильной работы приложения такие сертификаты были бы отклонены, но из-за имеющейся ошибки ПО будет доверять им, в результате чего хакеры смогут совершить атаку через посредника.

Аналитический сервис Source DNA, который и обнаружил проблему, уже выпустил инструмент, который позволяет пользователям и разработчикам проверить приложение на наличие этой уязвимости. База данных уязвимых приложений будет обновляться достаточно часто для того, чтобы исправленные программы своевременно удалялись из списка, а приложения, которые по прежнему используют старую версию AFNetworking, пополняли его.