1500款iOS應(yīng)用存在漏洞黑客可盜取隱私數(shù)據(jù)

來源:appleinsider 2015-04-23 10:37 http://www.413629.com/ 海峽都市報電子版

[摘要]包括Uber、雅虎和微軟等表示已經(jīng)對應(yīng)用進行修改，不過目前來看依然還暴露在漏洞之下。用戶可通過網(wǎng)絡(luò)搜索工具查看哪些應(yīng)用存在漏洞或者已經(jīng)被修復。

　　根據(jù)本周一份最新的調(diào)查報告顯示，目前大約有1500款iOS系統(tǒng)應(yīng)用程序存在安全漏洞，可以被黑客繞過HTTPS-crippling竊取用戶密碼和其它敏感數(shù)據(jù)，包括密碼、銀行賬戶等。

　　根據(jù)來自SourceDNA分析公司的一份報告稱，該漏洞存在于早期版本的AFNetworking中。AFNetworking是一個開源的網(wǎng)絡(luò)開發(fā)框架，允許開人員在自己的應(yīng)用中添加網(wǎng)絡(luò)功能。而存在漏洞的AFNetworking版本為2.5.1，在今年1月份發(fā)布。通過這個版本AFNetworking開發(fā)的應(yīng)用可能引起一個錯誤，被處于相同Wi-Fi網(wǎng)絡(luò)的黑客通過偽造的SSL證書和HTTPS解密數(shù)據(jù)，利用一個假冒的安全套接字層證書即可發(fā)動攻擊。正常情況下，這個假冒的證書立即就會被識破。但由于2.5.1版本代碼的邏輯錯誤，它并不會對該假冒證書進行驗證，因此被視為合法證書。

　　據(jù)悉，這個問題首先被ArsTechnica指出，而當時的AFNetworking只是簡單的跳過了驗證檢查機制。雖然目前AFNetworking已經(jīng)通過三周前的2.5.2版本更新解決了這個問題，但是現(xiàn)在仍然還有許多iOS應(yīng)用依然存在這些有問題的代碼，包括阿里巴巴、Uber、Movies by Flixster、Citrix OpenVoice Audio Conferencing等著名公司旗下的應(yīng)用在內(nèi)。

　　據(jù)悉，目前暴露在該漏洞下的iOS應(yīng)用已經(jīng)超過1500款。SourceDNA表示在App Store所有140萬款應(yīng)用中，大約有100萬都在使用AFNetworking進行開發(fā)，其中包括了所有的免費應(yīng)用以及排名前5000款付費應(yīng)用。

　　在SourceDNA公布漏洞之前，該公司已經(jīng)私下與開發(fā)者進行聯(lián)系敦促其解決這個問題。包括Uber、雅虎和微軟等表示已經(jīng)對應(yīng)用進行了修改，不過目前來看依然還暴露在這個漏洞之下。用戶可以通過專門的網(wǎng)絡(luò)搜索工具來查看哪些應(yīng)用存在漏洞或者已經(jīng)被修復。

　　上周，互聯(lián)網(wǎng)安全研究員Patrick Wardle表示OS X 10.10.3系統(tǒng)更新未能完全解決RootPope問題，而這一缺陷將會導致Mac軟件訪問沒有驗證的證書。同時Patrick Wardle表示他已經(jīng)針對此問題與蘋果取得了聯(lián)系，并且出于公共安全的考慮，對外隱瞞了該問題的細節(jié)。