Otkrivena je ranjivost u programskoj biblioteci otvorenog koda AFNetworking 2.5.2 koja nije pravilno provjeravala nazive domena digitalnih certifikata i koja se koristi u više od 25 000 iOS aplikacija za implementaciju mrežne komunikacije uključujući i one preko HTTPS protokola. Ranjivost napadačima omogućuje presretanje HTTPS prometa ranjive aplikacije i web odredišta te dešifriranje tog prometa podmetanjem digitalnog certifikata druge domene. Takvi man-in-the-middle napadi mogu se ostvariti preko nesigurnih bežičnih mreža, hakiranjem usmjerivača ili drugim metodama. Ranjivost je ispravljena u inačici AFNetworking 2.5.3, izdane 20. travnja. Razvojnim programerima AFNetworkinga 27. ožujka je prijavljena i druga ranjivost koja je također omogućavala presretanje HTTPS prometa i koja je postojala samo u inačici AFNetworking 2.5.1 te je utjecala na ranjivost oko 1 000 iOS aplikacija. SourceDNA je korisnicima stavio na raspolaganje servis Searchlight na kojem mogu provjeriti ranjivost instaliranih aplikacija.
$downloadlink = get_field('download_link'); ?>Otkriveno potencijalno presretanje HTTPS prometa u iOS aplikacijama
Izvor: www.pcworld.com