HTTPS漏洞导致1500项iOS应用存在安全隐患

移动开发 iOS
北京时间4月21日晚间消息,应用分析服务公司SourceDNA周一发布报告称,约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息,如密码、银行账号或其他高度敏感信息。

北京时间4月21日晚间消息,应用分析服务公司SourceDNA周一发布报告称,约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息,如密码、银行账号或其他高度敏感信息。

SourceDNA预计,有200多万用户安装了这些存在安全隐患的应用,如Citrix OpenVoice Audio Conferencing、阿里巴巴(Alibaba.com)的移动应用、KYBankAgent 3.0和Revo Restaurant Point of Sale等。

该漏洞存在于早期版本的AFNetworking中。AFNetworking是一个开源的网络开发框架,允许开人员在自己的应用中添加网络功能。虽然最新的2.5.2版本已于三周前修复了该漏洞,但至少仍有1500项iOS应用在使用存在隐患的2.5.1版本。

要利用该漏洞发动攻击,黑客只需利用网吧或其他地方的WiFi网络监测存在漏洞的iOS设备,然后利用一个假冒的安全套接字层证书即可发动攻击。正常情况下,这个假冒的证书立即就会被识破。但由于2.5.1版本代码的逻辑错误,它并不会对该假冒证书进行验证,因此被视为合法证书。

最初SourceDNA并未公布这些受影响应用的名称,以便开发人员有时间进行升级。如今,SourceDNA提供了一个搜索工具,允许iOS用户根据开发商名称进行搜索。

上个月,苹果曾修复了影响iOS系统的FREAK安全漏洞。该漏洞是20世纪90年代一项美国法律的历史残留,当时的法律限制RSA加密密钥的出口,目前仍然得到很多浏览器的支持。

责任编辑:chenqingxiang 来源: 新浪科技
相关推荐

2021-11-09 07:26:14

网速安全隐患

2010-03-05 14:18:53

2010-03-19 16:17:15

2009-08-15 11:42:43

2020-11-27 11:22:26

漏洞

2010-09-17 14:29:23

2009-02-01 08:49:24

2013-09-11 14:57:15

2012-12-27 10:53:12

2012-06-25 09:18:36

2009-10-27 16:33:43

2010-03-17 16:13:48

2013-09-12 11:35:56

2018-08-21 15:34:39

笔记本电池隐患

2017-11-03 12:05:09

机房排查安全

2009-07-06 13:38:02

2017-02-24 08:11:09

Docker数据安全容器

2009-07-07 09:00:39

2011-03-30 10:15:24

2011-05-20 13:40:43

点赞
收藏

51CTO技术栈公众号