Hlavní navigace

Aplikace na iOS používající internet jsou napadnutelné podvržením komunikace

Daniel Dočekal 3. 11. 2013

Skycure, objevitelé již několika pěkných bezpečnostních chyb, v úterý zveřejnili detaily o nedostatcích řady aplikací v prostředí Apple iOS

Skycure zmiňují na svém blogu (viz HTTP Request Hijacking) bezpečnostní nedostatek v řadě aplikací v iOSu, které používají internetovou komunikaci. HRH, jak problém nazývají (HTTP Request Hijacking), v detailnější podobě zveřejnili na  RSA Europe

Zmiňují také, že jakkoliv vždy objevené bezpečnostní nedostatky v dostatečném předstihu i podobě oznamují postižené straně, v tomto případě jde o velké množství aplikací a není možné přistoupit k vyrozumění každého tvůrce jednotlivě.

HRH spočívá v podvržení HTTP komunikace, kterou dnešní aplikace využívají v nebývalé míře. V zásadě je možné požadavek na data z určitého serveru přesměrovat na server vlastní a zpět vrátit data pozměněná. Skycure upozorňuje, že něco takového se může hodit pro zpravodajské aplikace, nebo ještě lépe pro aplikace finanční. Lidé věří informacím, které jim takovéto aplikace předkládají a nenapadne je, že by někdo mohl informace změnit.

Samotný bezpečnostní nedostatek využívá 301 Moved Permanently, které v mobilních aplikacích vedek k ukládání informace o nové adrese do vyrovnávací paměti, přičemž mobil či tablet si pak takovéto přesměrování pamatuje a pracuje s ním i nadále. V případě aplikací pak zpravidla není možné vidět, že došlo k přesměrování – v mobilní aplikaci HTTP komunikace probíhá na pozadí, bez vědomí uživatele, ale hlavně bez možnosti vidět „s kým“ aplikace funguje.

HRH není samozřejmě nic nového, jde pouze o využití známého útoku MITM (Man In The Middle) – aplikace pošle požadavek na určitý server, útočník požadavek odchytí a vrátí odpověď (301) o přesměrování. Informace o přesměrování si ale aplikace zapamatuje a další požadavky bude automaticky posílat na novou adresu – což je poměrně nový prvek. A dělá to i poté, co už vlastní MITM mechanismus přestal fungovat.

WT100

 Skycure v závěru oznámení zmiňují i možné nápravy. Ta první spočívá ve využití už tak dost podstatné věci, tedy přechod na https komunikaci, byť toto řešení nenapravuje problém zcela. Komplexnější řešení spočívá v změně objektu NSURLCache tak, aby neukládal přesměrování do vyrovnávací paměti. 

Není tak samozřejmě možné zabránit případnému probíhajícímu útoku typu MITM (ten může výrazně zkomplikovat právě komunikace přes https), ale zabrání se tak pokračování poté, co přestane aktivní mechanismus útoku být funkční. 

Našli jste v článku chybu?
Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Podnikatel.cz: Jak vám může jóga pomoci v byznysu?

Jak vám může jóga pomoci v byznysu?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...