Lỗ hổng trong thư viện AFNetworking của bên thứ ba phá vỡ việc xác nhận chứng thư HTTPS, cho phép tin tặc có thể thực hiện tấn công man-in-the-middle.

Những ứng dụng được sử dụng bởi hàng triệu người dùng iPhone và iPad trở nên dễ bị xâm phạm khi một lỗ hổng tồn tại trong mã nguồn của bên thứ ba để thiết lập kết nối HTTPS.
Lỗ hổng nằm trong một thư viện mã nguồn mở AFNetworking, được sử dụng bởi hàng trăm ngàn ứng dụng iOS và Mac OS X để giao tiếp với các dịch vụ Web. Lỗ hổng này vô hiệu hóa việc xác nhận chứng thư số của máy chủ khi thiết lập kết nối HTTPS.
Điều này có nghĩa rằng tin tặc nếu can thiệp được lưu lượng mã hóa giữa ứng dụng bị ảnh hưởng và máy chủ HTTPS thì có thể giải mã và sửa đổi dữ liệu bằng cách đưa ra một chứng thư giả. Đây là một cuộc tấn công man-in-the-middle và có thể được thực hiện trong hệ thống mạng không dây không đảm bảo an ninh, bằng cách xâm nhập vào thiết bị định tuyến và thông qua các phương pháp khác.
Ảnh hưởng của lỗ hổng này đến những hệ sinh thái iOS là khó đánh giá vì nó chỉ bị ảnh hưởng với những ứng dụng sử dụng thư viện AFNetworking  phiên bản 2.5.1, phát hành ngày 09/02 và trong số đó, chỉ ảnh hưởng với những ứng dụng sử dụng chức năng SSL/TLS của thư viện này.
Lỗ hổng này đã được khắc phục trong AFNetworking phiên bản 2.5.2, phát hành ngày 26/03, do đó các ứng dụng chỉ chịu ảnh hưởng bởi lỗ hổng này trong khoảng sáu tuần. Có bao nhiêu ứng dụng iOS đã sử dụng phiên bản lỗi trong khoảng thời gian đó và có bao nhiêu trong số ứng dụng đó sử dụng nó để thiết lập kết nối HTTPS? Công ty SourceDNA chuyên theo dõi việc sử dụng các thành phần của bên thứ ba trong ứng dụng iOS và Android có một câu trả lời cho câu hỏi trên.
Hiện có hơn 100.000 ứng dụng iOS, trong 1,4 triệu ứng dụng trên App Store, đang sử dụng thư viện AFNetworking, công ty cho biết trong một bài trên blog vào hôm thứ 2. Trong số đó, khoảng 20.000 ứng dụng đã được cập nhật hoặc được phát hành trong thời gian lỗ hổng này tồn tại.
SourceDNA đã tạo ra một chữ ký cho mã nguồn AFNetworking và kiểm tra với 20.000 ứng dụng trên để xem có bao nhiêu ứng dụng bị ảnh hưởng. Việc kiểm tra cho thấy 55% ứng dụng sử dụng phiên bản cũ hơn và phiên bản 2.5.0, và 40% ứng dụng khác không sử dụng hàm API  SSL/TLS, và còn 5% hay khoảng 1.000 ứng dụng là bị ảnh hưởng.
1.000 trong 100.000 ứng dụng bị ảnh hưởng, con số này dường như là không quá tệ, nhưng nó thực sự khiến ta cần cân nhắc vì chúng bao gồm những ứng dụng phổ biến từ các nhà cung cấp nổi tiếng như Yahoo, Microsoft, Uber Technologies, Citrix, ...
"Điều làm chúng tôi ngạc nhiên là một thư viện mã nguồn mở được phát hiện tồn tại lỗ hổng an ninh chỉ trong sáu tuần mà khiến hàng triệu người dùng có thể bị tấn công," SourceDNA nói.
Một số nhà cung cấp, bao gồm cả Yahoo, đã vá các ứng dụng của họ, nhưng những nhà cung cấp khác vẫn chưa thực hiện, vì vậy SourceDNA đã tạo một trang web  cho phép người dùng kiểm tra xem những ứng dụng mà họ cài đặt có bị ảnh hưởng.