汇商动态

约1500项iOS应用存漏洞,可能会导致黑客截获用户的加密信息

字号+作者:鼎读财经 来源:新浪科技 2021-12-07 08:47:18 收藏成功收藏本文

北京时间4月21日晚间消息,应用分析服务公司SourceDNA周一发布报告称,约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息,如'...

新浪科技讯 北京时间4月21日晚间消息,应用分析服务公司SourceDNA周一发布报告称,约1500项iOS应用存在 HTTPS-crippling 漏洞。该漏洞允许黑客截获用户的加密信息,如密码、银行账号或其他高度敏感信息。

SourceDNA预计,有200多万用户安装了这些存在安全隐患的应用,如Citrix OpenVoice Audio Conferencing、阿里巴巴(Alibaba.com)的移动应用、KYBankAgent 3.0和Revo Restaurant Point of Sale等。

该漏洞存在于早期版本的AFNetworking中。AFNetworking是一个开源的网络开发框架,允许开人员在自己的应用中添加网络功能。虽然最新的2.5.2版本已于三周前修复了该漏洞,但至少仍有1500项iOS应用在使用存在隐患的2.5.1版本。

要利用该漏洞发动攻击,黑客只需利用网吧或其他地方的WiFi网络监测存在漏洞的iOS设备,然后利用一个假冒的安全套接字层证书即可发动攻击。正常情况下,这个假冒的证书立即就会被识破。但由于2.5.1版本代码的逻辑错误,它并不会对该假冒证书进行验证,因此被视为合法证书。

最初SourceDNA并未公布这些受影响应用的名称,以便开发人员有时间进行升级。如今,SourceDNA提供了一个搜索工具,允许iOS用户根据开发商名称进行搜索。

上个月,苹果曾修复了影响iOS系统的FREAK安全漏洞。该漏洞是20世纪90年代一项美国法律的历史残留,当时的法律限制RSA加密密钥的出口,目前仍然得到很多浏览器的支持。(李明)

1.鼎读财经网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.网友所投稿件只代表发稿人立场,如果内容或配图侵犯了您的利益,请联系发稿人或本站编辑3123658318@qq.com 进行删除。

上一篇:明星代言哪家强?细数国产手机品牌代言人下一篇:京东要开奶茶馆?