Исследователь Trustwave находит кое-какие важные недостатки в приложениях для iOS Apple, каковые имели возможность открывать пользователей к эксплуатации.Приложения совместного доступа к файлам для мобильных устройств iOS Apple смогут возможно воображать угрозу безопасности пользователям, по словам исследователя в области безопасности Trustwave.Бруно Гонсалвеш де Оливейра, основной консультант по безопасности в Trustwave, растолковал eWEEK, что совершил изучение многих приложений совместного доступа к файлам iOS Apple, каковые в большинстве случаев употребляются iPhone Apple и пользователями iPad как несложный метод поделиться фотографиями, другими типами и документами содержания.
С приложением совместного доступа к файлам пользователь по существу открывает устройство на iOS для принятия входящих соединений от вторых пользователей, включая доступ к содержанию. Неприятность, согласно данным Oliveria, пребывает в том, что многие приложения совместного доступа к файлам включают компонент веб-сервера, что в большинстве случаев подобающим образом не защищается.«Так, пользователь запускает приложение совместного доступа к файлам, которое тогда запускает веб-сервер на устройстве», сообщил Оливейра. «Любой может тогда загрузить и совместно применять файлы».Оливейра сказал, что приложения разглядел главные функции безопасности, в которых испытывают недочёт, такие как аутентификация и шифрование пользователя, каковые либо не находились по большому счету либо не включили по умолчанию.
Все современные веб-операции смогут и должны быть защищены шифрованием Уровня защищенных сокетов (SSL), которое есть тем, что мобильные приложения совместного доступа к файлам, каковые пропускал проанализированный Оливейра.Идя ход вперед, многие рассмотренные приложения не "настойчиво попросили" никакой формы аутентификации пользователя по умолчанию. Кроме этого, любой, кто может отыскать устройство в сети, может получить доступ к приложению совместного доступа к файлам.
Нахождение возможно уязвимых устройств на iOS в сети, каковые делают приложения совместного доступа к файлам, не есть тяжёлой задачей кроме этого. Оливейра сообщил mDNS (Многоадресный DNS), что употребляется широковещательными сообщениями устройств на iOS, какие конкретно порты открыты на устройстве. Существуют mDNS приложения браузера, доступные для iOS, которая может употребляться любым для несложного наблюдения всех устройств в сети, каковые имеют открытые порты, каковые, возможно, будут делать веб-сервер совместного доступа к файлам.Додавая дополнительное оскорбление ущерба, изучение Оливейры продемонстрировало потенциал для утечки данных вне того, что публично совместно применяли приложения совместного доступа к файлам.
Apple применяет устойчивый подход игры в песочнице для iOS, которая, как предполагается, ограничивает свойство приложения выполнить действия за пределами ее ограниченной области. В зависимости от версии iOS у Оливейры были разные результаты при попытке получить доступ к файловой совокупности.
Apple сравнительно не так давно обновила iOS к Версии 7.«С iOS 6 я смог получить доступ к громадному количеству разных типов системных файлов, даже в том случае, если устройство не было сделано джейлбрейк», сообщил Оливейра. «Но с iOS 7, Apple сейчас реализовала второй уровень безопасности, и Вы имеете возможность лишь получить доступ к папке данного приложения».Причина для ненадежности в приложениях совместного доступа к файлам iOS не лежит на Apple, согласно данным Oliveria, а скорее с разработчиками ПО, каковые создали приложения.
Вне отсутствия надлежащего шифрования по умолчанию в приложениях совместного доступа к файлам, Oliveria кроме этого намерено определенные большое количество недостатков обхода пути, каковые разрешают атакующим получить доступ к файлам за пределами базисной веб-корневой папки во многих мобильных приложениях. Один из недостатков, публично раскрытых Оливейрой, воздействует на приложение совместного доступа к файлам iOS FTP Drive, которое еще не было исправлено.«Диск FTP приложения уязвим для нападений обхода пути к файлу, разрешающих неаутентифицируемым атакующим получить доступ к произвольным системным файлам на устройстве, применяя несложный обход, %2f вместо (/) применение кодирования URL», записал Оливейра на общедоступной консультации.Оливейра отыскал и сказал о подобном недостатке в Несложном приложении для iOS Файлового менеджера, которое кроме этого должно все же быть исправлено.
Существует пара вещей, что Оливейра предлагает, дабы пользователи сделали для защиты себя от рисков приложения совместного доступа к файлам iOS. Он рекомендует, дабы пользователи избежали загружать приложения от малоизвестных производителей.
Для фирм Оливейра рекомендует применение надлежащих разработок управления мобильными устройствами (MDM), каковые смогут сократить риски утечки данных.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.