O Mohamed Ramadan της Attack-Secure, μετά από διαδικτυακή επίθεση ‘’man in the middle attack’’, που πραγματοποίησε στην εφαρμογή Etsy για iPhone, ανακάλυψε μια κρίσιμη ευπάθεια η οποία δίνει τη δυνατότητα σε εισβολείς που βρίσκονται στο ίδιο δίκτυο, να το παρακολουθούν και να υποκλέπτουν δεδομένα (συμπεριλαμβανομένου του κωδικού πρόσβασης του χρήστη), αόρατα χωρίς καμία προειδοποίηση από την εφαρμογή.
Έχοντας κατεβάσει και εγκαταστήσει την τελευταία έκδοση της εφαρμογής 2.2, στο δικό του iPhone 4S με iOS 6 και στο ipad, χρησιμοποιώντας παράλληλα το Burp Suite proxy 1.5 στην πόρτα 8080 με απενεργοποιημένο το firewall της συσκευής, ρυθμίζοντας τη να χρησιμοποιεί manual proxy, μπόρεσε να υποκλέψει το όνομα του χρήστη και τον κωδικό πρόσβασης, σε μορφή απλού κειμένου (μη κρυπτογραφημένου).
Το θέμα έχει ήδη αναφερθεί στην ομάδα ασφάλειας της Etsy, η οποία από την πλευρά της επιβεβαίωσε την ευπάθεια. Ο Mohamed βραβεύτηκε με 750 δολάρια για την ανακάλυψή του.
Διαβάστε περισσότερα στο Secnews.gr
