首页
登录 | 注册

HTTPS 漏洞导致 1500 项 iOS 应用存在安全隐患

应用分析服务公司SourceDNA周一发布报告称,约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息,如密码、银行账号或其他高度敏感信息。SourceDNA预计,有200多万用户安装了这些存在安全隐患的应用,如Citrix OpenVoice Audio Conferencing、阿里巴巴(Alibaba.com)的移动应用、KYBankAgent 3.0和Revo Restaurant Point of Sale等。

该漏洞存在于早期版本的AFNetworking中。AFNetworking是一个开源的网络开发框架,允许开人员在自己的应用中添加网络功能。虽然最新的2.5.2版本已于三周前修复了该漏洞,但至少仍有1500项iOS应用在使用存在隐患的2.5.1版本。

要 利用该漏洞发动攻击,黑客只需利用网吧或其他地方的WiFi网络监测存在漏洞的iOS设备,然后利用一个假冒的安全套接字层证书即可发动攻击。正常情况 下,这个假冒的证书立即就会被识破。但由于2.5.1版本代码的逻辑错误,它并不会对该假冒证书进行验证,因此被视为合法证书。

最初SourceDNA并未公布这些受影响应用的名称,以便开发人员有时间进行升级。如今,SourceDNA提供了一个搜索工具,允许iOS用户根据开发商名称进行搜索。

上个月,苹果曾修复了影响iOS系统的FREAK安全漏洞。该漏洞是20世纪90年代一项美国法律的历史残留,当时的法律限制RSA加密密钥的出口,目前仍然得到很多浏览器的支持。


相关文章

  • 如何提升开发技术的方法很多,比如专注,刻苦,热情,兴趣等,不过我这里不会提这些,下面想说的是我觉得能够指数级提升的窍门和一些自己在求索路上的一些体会,也算是一个阶段性的总结吧.给大家做个分享,希望对需要的同学有用. 1,看到这个标题一般人的 ...
  • 八年iOS架构师教你如何一举拿下iOS工程师的Offer,(附面试技巧)
    现在很多人即将毕业或者换工作面临找工作,为了帮助大家,遂写下这篇文章.如果你想进入BAT,抑或拿到高工资,无论你的基础如何,你至少要花三个月时间来准备简历.笔试题.面试题.对于没有项目经验,没有计算机专业背景,甚至没有学历背景的朋友,更需要 ...
  • 对于我们绝大多数人来说,工作最基本的意义是我们可以通过自己的劳动换取酬劳来养活自己,尤其是对于刚毕业的学生,拥有一份全日制的工作意味着自己走出校园,踏上社会,自己真正开始独立起来.在养活自己的基础上,我们才会考虑一些其他的,比如收入的高低. ...
  • Discuz网站漏洞的检测与分析
    Discuz漏洞的检测与分析
  • 幽灵漏洞是Linux glibc库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限.目前他的CVE编号为CVE-2015-0235. 什么是glibc glibc是GNU发布的libc库,即c运行 ...
  • 目前形势,参加到iOS队伍的人是越来越多,甚至已经到供过于求了. 由于我面试公司比较多,所以自然也是做了这方面的准备,因此这篇总结并不一定适合想去创业公司的同学.另外,由于经验本来就是主观性极强的东西,加之笔者水平有限,所以如果有不认可的地 ...

2020 unjeep.com webmaster#unjeep.com
12 q. 0.014 s.
京ICP备10005923号