分析服务公司SourceDNA周一发布了一份报告,称大约1500个iOS应用程序存在“HTTPS瘫痪”漏洞。此漏洞允许黑客拦截用户的加密信息,如密码、银行账户或其他高度敏感的信息。SourceDNA优艾设计网_平面设计估计,目前已有超过200万用户安装了这些存在潜在安全风险的应用,如Citrix Open Voice音频会议、阿里巴巴(Alibaba.com)移动应用、KYBankAgent 3.0和Revo餐厅销售点等。
该缺陷存在于早期版本的AFNetworking中。AFNetworking是一个开源的网络开发框架,允许开发人员将网络功能添加到自己的应用程序中。尽管最新的2.5.2版本在三周前修复了该漏洞,但仍有至少1500个iOS应用程序使用2.5.1版本,存在隐患。
要利用这个漏洞发起攻击,黑客只需要利用网吧或其他地方的WiFi网络监控易受攻击的iOS设备,然后使用伪造的Secure Sockets Layer证书发起攻击。一般情况下,这张假证件会被立即发现。但由于2.5.1版代码的逻辑错误,不会对假证书进行验证,因此被视为合法证书。
最初,SourceDNA没有公布这些受影响的应用程序的名称,因此开发人员有时间进行升级。如今,SourceDNA提供了一个搜索工具,允许iOS用户根据开发者的名字进行搜索。
上个月,苹果修复了影响iOS的FREAK安全漏洞。这个漏洞是上世纪90年代美国一项法律的历史遗留,当时的法律限制了RSA加密密钥的导出,至今仍被很多浏览器支持。
精彩评论