應用分析服務公司SourceDNA週一發佈報告稱,約1500項iOS軟件存在「HTTPS-crippling」漏洞。該漏洞允許黑客截獲用戶的加密信息,如密碼、銀行賬號或其他高度敏感信息。SourceDNA預計,有200多萬用戶安裝了這些存在安全缺陷的軟件,如Citrix OpenVoice Audio Conferencing、阿里巴巴(Alibaba.com)的軟件、KYBankAgent 3.0和Revo Restaurant Point of Sale等。

該漏洞存在於早期版本的AFNetworking中。AFNetworking是一個開源的網絡開發框架,允許開人員在自己的軟件中增加網絡功能。雖然最新的2.5.2版本已於三週前修復了該漏洞,但至少仍有1500項iOS軟件在使用存在缺陷的2.5.1版本。

20150421012s

20150421013s

20150421014s

要利用該漏洞發動攻擊,黑客只需利用網吧或其他地方的WiFi網絡監測存在漏洞的iOS裝置,然後利用一個假冒的安全通訊協定( SSL )即可發動攻擊。正常情況下,這個假冒的憑證立即就會被識破。但由於2.5.1版本代碼的邏輯錯誤,它並不會對該假冒憑證進行驗證,因此被視為合法憑證。

最初SourceDNA並未公佈這些受影響應用的名稱,以便開發人員有時間進行升級。如今,SourceDNA提供了一個搜索工具,允許iOS用戶根據開發商名稱進行搜索。

上個月,蘋果曾修復了影響iOS系統的FREAK安全漏洞。該漏洞是20世紀90年代一項美國法律的歷史殘留,當時的法律限制RSA加密密鑰的出口,目前仍然得到很多瀏覽器的支持。


 HTTPS漏洞導致1500項iOS軟件存在安全缺陷

 https://www.facebook.com/diypc.hk