1500款iOS應(yīng)用存在漏洞 黑客可盜取隱私數(shù)據(jù)

　　根據(jù)本周一份最新的調(diào)查報(bào)告顯示，目前大約有1500款iOS系統(tǒng)應(yīng)用程序存在安全漏洞，可以被黑客繞過(guò)HTTPS-crippling竊取用戶(hù)密碼和其它敏感數(shù)據(jù)，包括密碼、銀行賬戶(hù)等。

　　根據(jù)來(lái)自SourceDNA分析公司的一份報(bào)告稱(chēng)，該漏洞存在于早期版本的AFNetworking中。AFNetworking是一個(gè)開(kāi)源的網(wǎng)絡(luò)開(kāi)發(fā)框架，允許開(kāi)人員在自己的應(yīng)用中添加網(wǎng)絡(luò)功能。而存在漏洞的AFNetworking版本為2.5.1，在今年1月份發(fā)布。通過(guò)這個(gè)版本AFNetworking開(kāi)發(fā)的應(yīng)用可能引起一個(gè)錯(cuò)誤，被處于相同Wi-Fi網(wǎng)絡(luò)的黑客通過(guò)偽造的SSL證書(shū)和HTTPS解密數(shù)據(jù)，利用一個(gè)假冒的安全套接字層證書(shū)即可發(fā)動(dòng)攻擊。正常情況下，這個(gè)假冒的證書(shū)立即就會(huì)被識(shí)破。但由于2.5.1版本代碼的邏輯錯(cuò)誤，它并不會(huì)對(duì)該假冒證書(shū)進(jìn)行驗(yàn)證，因此被視為合法證書(shū)。

　　據(jù)悉，這個(gè)問(wèn)題首先被ArsTechnica指出，而當(dāng)時(shí)的AFNetworking只是簡(jiǎn)單的跳過(guò)了驗(yàn)證檢查機(jī)制。雖然目前AFNetworking已經(jīng)通過(guò)三周前的2.5.2版本更新解決了這個(gè)問(wèn)題，但是現(xiàn)在仍然還有許多iOS應(yīng)用依然存在這些有問(wèn)題的代碼，包括阿里巴巴、Uber、Movies by Flixster、Citrix OpenVoice Audio Conferencing等著名公司旗下的應(yīng)用在內(nèi)。

　　據(jù)悉，目前暴露在該漏洞下的iOS應(yīng)用已經(jīng)超過(guò)1500款。SourceDNA表示在App Store所有140萬(wàn)款應(yīng)用中，大約有100萬(wàn)都在使用AFNetworking進(jìn)行開(kāi)發(fā)，其中包括了所有的免費(fèi)應(yīng)用以及排名前5000款付費(fèi)應(yīng)用。

　　在SourceDNA公布漏洞之前，該公司已經(jīng)私下與開(kāi)發(fā)者進(jìn)行聯(lián)系敦促其解決這個(gè)問(wèn)題。包括Uber、雅虎和微軟等表示已經(jīng)對(duì)應(yīng)用進(jìn)行了修改，不過(guò)目前來(lái)看依然還暴露在這個(gè)漏洞之下。用戶(hù)可以通過(guò)專(zhuān)門(mén)的網(wǎng)絡(luò)搜索工具來(lái)查看哪些應(yīng)用存在漏洞或者已經(jīng)被修復(fù)。

　　上周，互聯(lián)網(wǎng)安全研究員Patrick Wardle表示OS X 10.10.3系統(tǒng)更新未能完全解決RootPope問(wèn)題，而這一缺陷將會(huì)導(dǎo)致Mac軟件訪問(wèn)沒(méi)有驗(yàn)證的證書(shū)。同時(shí)Patrick Wardle表示他已經(jīng)針對(duì)此問(wèn)題與蘋(píng)果取得了聯(lián)系，并且出于公共安全的考慮，對(duì)外隱瞞了該問(wèn)題的細(xì)節(jié)。