安全专家日前警告称,App Store当中至少有2.5万应用程序都包含一个严重漏洞,该漏洞可能会让保护设备免受中间人攻击的HTTP保护措施失效,从而让用户的敏感数据暴露在攻击者面前。
据悉,本次曝光的漏洞存在于开源代码库AFNetworking当中,这个数据库可让开发者为自己的iOS和OS X应用加入联网能力,而任何使用2.5.3之前版本AFNetworking的应用都有可能将数据暴露给攻击者(进行监控或修改),即便它们受到SSL协议的保护。攻击者使用任意域名任何有效的SSL证书都可以利用这一漏洞,只要该数字证书是由浏览器新任的证书颁发机构(CA)所颁发。
安全公司SourceDNA创始人Nate Lawson表示,只要攻击者拥有任意有效的证书,就都可以监控或修改任何由问题应用所发起的SSL会话。虽然系统会检查证书是否由有效的CA所颁发,但并不会检查当中的域名。举个例子,攻击者使用“sourcedns.com”的有效证书就可以伪装成“microsoft.com”。
根据Lawson的预测,受到这一漏洞影响的iOS应用数量在2.5-5万之间。为了让终端用户和开发者了解自己的应用是否受到影响,SourceDNA提供了一个免费的搜索工具可供使用。为了避免有人恶意利用这一漏洞,SourceDNA并未公布完整的应用清单。
iOS用户应当立刻检查他们使用的所有应用,特别是内含银行账号或其他敏感私人信息的应用。由于开发者可能需要数天才能修复该漏洞,用户在此期间应该避免使用这些受影响的应用。不过AFNetworking漏洞只能影响到使用代码库的应用,设备本身和其他应用(包括浏览器)并不会受到影响。
