ثغرة حرجة موجودة في AFNetworking تسمح للمهاجم بإيقاف حماية الـ HTTPS لـ 25.000 تطبيق IOS موجودين بمتجر أبل، وذلك بواسطة شن هجوم من نوع man-in-the-middle (MITM).

AFNetworking عبارة عن كود مفتوح المصدر لمكتبة شهيرة تستخدم من قبل المطورين حتى يستطيعوا الاستفادة من القدرات الشبكية على منتجات الـ IOS , OS X، الخاصة بهم. ولكنها فشلت في عملية التحقق من اسم النطاق الذي تم إصدار شهادة SSL من أجله.

Malware-Jailbreak-Apple-iOS-iphone

وجدير بالذكر أن أي تطبيق IOS يستخدم AFNetworking الإصدارات التي تسبق الإصدار 2.5.3 ربما يكون مصاب بثغرة حرجة تسمح للمهاجم بسرقة أو التلاعب بالبيانات، حتى وإن كان التطبيق مؤمن بواسطة SSL.

المهاجم يستطيع استخدام أي شهادة SSL صالحة لأي اسم نطاق وذلك من أجل استغلال الثغرة، طالما أن الشهادة صادرة من مصدر موثوق منه مثل (CA).

الثغرة تؤثر على أكثر من 25.000 تطبيق IOS، وتم اكتشافها والإبلاغ عنها بواسطة Ivan Leichtling من شركة Yelp.

وكانت AFNetworking قد قامت بإصلاح هذه المشكلة في إصدارها الأخير 2.5.3 وذلك قبل الإصدار الإصدار السابق 2.5.2 والتي فشلت في إصلاح مشاكل أخرى متعلقة إيضاً بالـ SSL.