این ضعف امنیتی مربوط به یک کتابخانه متن آزاد با نام AFNetworking است که صدها هزار برنامک iOS و Mac OS X از آن برای برقراری ارتباط با سرویسدهندگان وب استفاده میکنند. این ضعف امنیتی سبب غیرفعال شدن فرآیند بررسی گواهیهای دیجیتال در حین برقراری ارتباطات HTTPS میشود.
این بدان معناست که نفوذگران قادرند با معرفی یک گواهی جعلی به برنامک آسیبپذیر، ترافیکهای میان آن برنامک و سرورهای HTTPS را رمزگشایی کنند که حمله ای از نوع حمله مرد میانی (Man-in-the-Middle) محسوب میشود.
ضعف امنیتی مزبور تنها در نگارش 2.5.1 کتابخانه AFNetworking که در 20 بهمن سال گذشته عرضه شد، وجود دارد. این ضعف در نگارش 2.5.2 که 6 فروردین 94 ارائه شد ترمیم شده است.
بر اساس یک بررسی که توسط شرکت SourceDNA انجام شده است، از بین 1.4 میلیون برنامک موجود بر روی فروشگاه اینترنتی App Store، یکصدهزار برنامک از کتابخانه AFNetworking استفاده میکنند. از این تعداد 20 هزار برنامک، در زمان وجود ضعف امنیتی، بهروز شده و یا برای بار اول به بازار عرضه شدهاند.
شرکت SourceDNA با ساخت یک ابزار برای شناسایی ضعف امنیتی AFNetworking و پایش این 20 هزار برنامک، به آمار جالبی دست یافته است. 55 درصد از برنامکهای بررسی شده از نگارشهای قدیمیتر از 2.5.0 که فاقد این ضعف امنیتی است، استفاده میکنند. 40 درصد آنها نیز از بخش آسیبپذیر این کتابخانه استفاده نمیکنند. تنها 5 درصد باقیمانده که چیزی حدود 1000 برنامک را تشکیل میدهند آسیبپذیر تشخیص داده شدهاند.
در نگاه اول، وجود یک هزار برنامک آسیبپذیر شاید چندان پرخطر به نظر نیاید. اما بر اساس بررسی SourceDNA، برنامکهای شرکتهای معروف و پرکاربر همچون Yahoo، Microsoft و Citrix نیز در فهرست این 1000 برنامک به چشم میخورند.
در روزهای گذشته، برخی از این شرکتها، همچون Yahoo اقدام به ترمیم برنامکهای آسیبپذیر خود کردهاند.
همچنین SourceDNA اقدام به راهاندازی یک سایت کرده است که کاربران را قادر به شناسایی برنامکهای آسیبپذیر بر روی دستگاه خود میکند.