分析服務(wù)公司SourceDNA周一發(fā)布了一份報(bào)告,稱(chēng)大約1500個(gè)iOS應(yīng)用程序存在“HTTPS癱瘓”漏洞�����。此漏洞允許黑客攔截用戶(hù)的加密信息�����,如密碼�、銀行賬戶(hù)或其他高度敏感的信息。SourceDNA估計(jì)���,目前已有超過(guò)200萬(wàn)用戶(hù)安裝了這些存在潛在安全風(fēng)險(xiǎn)的應(yīng)用�����,如Citrix Open Voice音頻會(huì)議����、阿里巴巴(Alibaba.com)移動(dòng)應(yīng)用�����、KYBankAgent 3.0和Revo餐廳銷(xiāo)售點(diǎn)等。
該缺陷存在于早期版本的AFNetworking中�����。AFNetworking是一個(gè)開(kāi)源的網(wǎng)絡(luò)開(kāi)發(fā)框架�����,允許開(kāi)發(fā)人員將網(wǎng)絡(luò)功能添加到自己的應(yīng)用程序中���。盡管最新的2.5.2版本在三周前修復(fù)了該漏洞�,但仍有至少1500個(gè)iOS應(yīng)用程序使用2.5.1版本��,存在隱患�����。
要利用這個(gè)漏洞發(fā)起攻擊�,黑客只需要利用網(wǎng)吧或其他地方的WiFi網(wǎng)絡(luò)監(jiān)控易受攻擊的iOS設(shè)備���,然后使用偽造的Secure Sockets Layer證書(shū)發(fā)起攻擊���。一般情況下����,這張假證件會(huì)被立即發(fā)現(xiàn)�。但由于2.5.1版代碼的邏輯錯(cuò)誤,不會(huì)對(duì)假證書(shū)進(jìn)行驗(yàn)證���,因此被視為合法證書(shū)�。
最初����,SourceDNA沒(méi)有公布這些受影響的應(yīng)用程序的名稱(chēng),因此開(kāi)發(fā)人員有時(shí)間進(jìn)行升級(jí)���。如今�,SourceDNA提供了一個(gè)搜索工具�,允許iOS用戶(hù)根據(jù)開(kāi)發(fā)者的名字進(jìn)行搜索。
上個(gè)月����,蘋(píng)果修復(fù)了影響iOS的FREAK安全漏洞。這個(gè)漏洞是上世紀(jì)90年代美國(guó)一項(xiàng)法律的歷史遺留�,當(dāng)時(shí)的法律限制了RSA加密密鑰的導(dǎo)出���,至今仍被很多瀏覽器支持。
