几维资讯> 行业资讯

1500个iOS应用程序可以打开简单的中间人攻击!

几维安全 2018-01-02 18:34:10  2720
分享到:

移动安全.png

针对iPhone和iPad的约1500个应用程序包含HTTPS漏洞,使得黑客执行中间人攻击来窃取密码,银行信息和其他私人信息是“微不足道的”。

这个漏洞被SourceDNA,Cult of Mac报道发现,而且是开源AFNetworking代码库中的一个弱点,一些开发者把他们的应用程序放进了网络功能中。虽然在2.5 版本的 AFNetworking 中已经修复了这个漏洞,但是并不是所有受影响的应用程序都已经更新到最新版本,而是让它们面临攻击。

SourceDNA在App Store中扫描了140万个应用程序,以查找那些仍然受到影响的应用程序,虽然1500个被发现的应用程序在总数中所占的比例相对较小,但未打补丁应用程序的用户可能会在中间人攻击中拦截他们的数据。

通常会检测到伪造的安全套接字层证书,导致连接立即被丢弃,但研究人员发现,由于代码中存在逻辑错误,验证检查不会执行。这意味着欺诈性证书被运行AFNetworking 2.5.1版的应用所信任。

移动安全研究人员写道:“即使移动应用程序要求图书馆对SSL证书中的服务器验证进行检查,也会出现问题。“我们在一台真实的设备上测试了这个应用程序,而且我们意外地发现,所有的SSL流量都可以通过像Burp这样的代理服务器进行定期拦截,而无需任何干预!

截至周一,包括Citrix OpenVoice音频会议,Alibababa移动应用程序,Filix Flixster的Movies,KYBankAgent 3.0和Revo Restaurant Point of Sale等许多高端应用程序仍在使用AFNetworking的易受攻击的版本,Ars Technica报道。 名单较长,但微软,雅虎和Uber等公司的应用程序是在向开发者私下泄露后进行修补的。


分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》