你好,歡迎來到IOS教程網

 Ios教程網 >> IOS編程開發 >> IOS開發基礎 >> 流行iOS網絡通信庫AFNetworking曝SSL漏洞,影響銀聯、中國銀行、交通銀行在內的2.5萬個iOS應用

流行iOS網絡通信庫AFNetworking曝SSL漏洞,影響銀聯、中國銀行、交通銀行在內的2.5萬個iOS應用

編輯:IOS開發基礎

1.jpg

一個存在於流行開源iOS網絡通信庫AFNetworking中的嚴重漏洞使得蘋果應用商店中的25000個iOS應用中的HTTPS流量暴露在中間人(MITM)攻擊之下。

AFNetworking是一款大名鼎鼎的開源網絡庫,能夠讓開發者們在iOS和OS X程序中加入網絡功能。但是,這款庫沒有檢查SSL證書是否是頒發給某個合法域名。這直接導致了任何使用了早於2.5.3版本的AFNetworking的iOS程序都存在漏洞,即使程序由SSL加密數據,黑客可以竊取和篡改數據。

使用任何SSL證書解密HTTPS加密數據

攻擊者可以使用任何SSL證書解密加密數據——證書只要是由可信的證書機構(CA)發布的都行,而這類證書50美元就可以買到。

"這就是說,咖啡店裡的攻擊者仍然能夠對應用與互聯網之間傳輸的隱私數據進行監聽甚至是控制SSL會話。"

舉個例子,攻擊者可以使用FreeBuf.com的證書來偽造facebook.com的。

來自Yelp的Ivan Leichtling報告稱,漏洞估計能夠影響25,000個iOS應用。

2.5.2版沒能修復漏洞

AFNetworking在其最新發行的2.5.3版本中修復了這個漏洞。而在其上一個版本(2.5.2)中,AFNetworking修復了另一個SSL相關的漏洞,卻沒有修復這個。

之前大家以為AFNetworking 2.5.2解決了SSL證書驗證的問題,那個問題是:攻擊者可以使用自簽名的證書截聽iOS應用於服務器之間的加密的敏感數據。

因此,任何有條件進行中間人攻擊的人,比如在不安全的Wifi網絡中的黑客,VPN網絡中的壞職工或者國家支持的黑客,只要使用證書管理機構(CA)頒發的證書,就可以監控或者修改通信。

大量知名APP中槍

安全公司SourceDNA快速掃描iOS市場中存在漏洞的iOS應用,發現了包括美國銀行、美國富國銀行、摩根大通等APP都可能受到影響,而來自頂尖開發者諸如雅虎和微軟的iOS應用也存在這個漏洞。

FreeBuf測試了幾款國內金融類APP,發現銀聯、中國銀行、交通銀行的APP紛紛中招。

1430121615673575.jpg

1430121619223503.jpg

1430121623901405.jpg

安全建議

為了防止黑客利用漏洞,SourceDNA沒有公開存在漏洞的iOS應用。安全研究人員建議開發者將最新版本(2.5.3)的AFNetworking整合到應用中去,這個版本默認開啟了域名驗證功能。(在之前的版本中實際上是有域名驗證功能的,但是要開啟validatesDomainName屬性,而它默認是關閉的)

安全研究人員還建議用戶立即檢查他們所使用應用的狀態,特別是那些使用銀行帳號信息等敏感信息的應用。

在線檢測

這一款免費的檢測工具,幫助開發者和用戶們檢查應用是否存在漏洞,點我立即測試。

*參考來源THN,譯/Sphinx,文章有修改

  1. 上一頁:
  2. 下一頁:
蘋果刷機越獄教程| IOS教程問題解答| IOS技巧綜合| IOS7技巧| IOS8教程
Copyright © Ios教程網 All Rights Reserved