苹果商店1500个iOS应用存在安全缺陷
作者: 日期:2015年04月22日 阅:1,684

安全公司SourceDNA本周一发布的一份报告指出,大约1500个苹果iTunes商店中的应用存在“HTTPS-crippling”漏洞。黑客可以通过该漏洞获取用户密码、财务信息,以及其它隐私信息。

该安全漏洞被发现存在于AFNetworking中,这是应用开发者使用的一个开源库,其功能是为应用增加网络功能。AFNetworking 2.5.1版本存在该漏洞,但在2.5.2版本中,此漏洞已被修复。

高亮处为跳过HTTPS验证检测的代码

使用AFNetworking的iOS数量超过十万。在漏洞被发现之初,SourceDNA进行的一项快速调查显示,其中的大约两万个应用在漏洞被公布后在App Store上发布了更新版本。研究人员还通过特征值扫描了其中确实包含漏洞代码的应用。结果显示:其中55%使用老版本2.5.0,不受漏洞影响;40%并没有使用AFNetworking库中关于SSL API的代码;其余5%,也就是1000个应用则包含该漏洞。

SourceDNA定期扫描并评估移动应用中使用的代码。该公司估计,大约200万人使用的应用版本还包含此漏洞。比如Alibaba.com移动应用和思杰公司的在线音频会议应用。

当用户在咖啡馆中使用公共WiFi,或者上网连接可以被黑客监控时,黑客可能使用该漏洞进行入侵。通过特定的软件,攻击者可以强迫用户使用虚假的安全套接层协议。

AFNetworking的原本功能是检验协议合法性,并在协议非法时强制断开连接。在2.5.1版本中则存在一个逻辑错误,协议检验过程无法进行。因此,任何SSL协议都会被认为合法,这使得黑客得以拦截敏感信息。

安全建议
1. 使用VPN连接WiFi

2. 安装最新版本的杀毒软件

3. 不要访问包含敏感信息的网站

4. 使用手机流量直接上网

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章