资讯频道 互联网
阅读更多

0顶
0踩

互联网

原创新闻 HTTPS漏洞依旧存在,约25000个iOS应用可被窃 听

2015-04-27 09:27 by 副主编 mengyidan1988 评论(1) 有4528人浏览
ios 互联网 HTTPS

声明:ITeye资讯文章的版权属于ITeye网站所有,严禁任何网站转载本文,否则必将追究法律责任!

本周一有一篇文章《HTTPS漏洞导致1500项iOS应用存在安全隐患》提到:约1500项iOS应用存在“HTTPS-crippling”漏洞,该漏洞存在于AFNetworking中。
引用
AFNetworking是一个流行的开放源代码库,使开发人员能够让联网功能集成到他们的iOS和OS X的产品。但是,它没有检查其SSL证书域名。

而SourceDNA(一个初创公司,它提供代码分析服务)再度发布报告称,使用低于刚刚发布的最新版本AFNetworking 2.5.3开发的苹果应用程序都可能容易影响,它可能允许黑客窃取或篡改数据,即使该应用程序受SSL(Secure Sockets Layer,安全套接层)协议保护。攻击者可以利用该漏洞使用任何有效的SSL域名证书,只要来自于受信任的证书颁发机构(CA)。

SourceDNA的创始人Nate Lawson称,“这意味着,咖啡店攻击者仍然可以窃 听私人数据或控制应用程序和互联网之间的SSL会话。”例如,可以假装是“Facebook.com”只是提出一个有效的SSL证书“sourcedna.com”。

Lawson预计超过25,000 iOS应用程序受影响。另外,为了防止黑客利用该漏洞,SourceDNA还没有透露受影响的iOS应用程序列表,但例如雅虎和微软的iOS应用程序,仍然容易受到该HTTPS漏洞的侵害。



SourceDNA也还提供了一个免费的搜索工具,供开发人员和终端用户查看他们的应用程序是否存在漏洞。不过,该公司建议开发者集成最新AFNetworking版本(2.5.3)到其产品中,以便在默认情况下启用域名验证。

消息来自:Ars Technica
  • 大小: 48.3 KB
0
0
评论 共 1 条 请登录后发表评论
1 楼 samm 2015-04-28 16:21
这不能说https本身有漏洞,只是ios上一个https的实现有漏洞。

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 阿里程序员相亲被拒;用Python做直播竞答外挂|一周业界事

    任何一项技术出来,先被高估是惯例,而只有在其经历了泡沫破碎的低谷之后,才能迎来被市场所接受的成熟期。想必,区块链技术的发展亦是如此。而如今,则以区块链技术为支撑的虚拟货币最为世人关注。目前的市面上存在...

  • APT攻击基础科普

    APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名字。但 “先进的持续威胁”一词被广泛引用,2006...

  • 写给产品经理的技术书:客户端、服务端和交互相关技术

    产品经理有三大领域的技术是需要去攻克的,分别是:...IOS系统主要是应用在iPhone、IPad、itouch设备上的操作系统,安卓系统主要是应用在安卓智能手机上的操作系统。 1.2 面向人群不同: IOS系统面向的是中高层收...

  • 产品经理三大领域的技术

    产品经理有三大领域的技术是需要去攻克的,分别是:客户端相关技术、服务端...IOS系统主要是应用在iPhone、IPad、itouch设备上的操作系统,安卓系统主要是应用在安卓智能手机上的操作系统。 1.2 面向人群不同: I

  • 微信公众平台开发

    微信公众平台开发(80) 上传下载多媒体文件 ...一、上传多媒体文件公众号可调用本接口来上传图片、语音、视频等文件到微信服务器,上传后服务器会返回对应的media_id,公众号此后可根据该media_id来获取多

  • OSI第二层网络架构安全要素

    许多安全管理员多关注网络层和应用层的安全问题,经常会忽略Layer2网络架构(数据链路层),同时这也是网络安全和可靠性方面最容易被人忽视的一个方面。在本文中,我会向你展示如何修正交换机配置以及架构方面最常见...

  • 一波面经。。。

    美团2015校招面经-软件研发岗 (拿到offer) ...然后,第一题:给你两个字符串str1,str2,找出str2在str1中的...我一看题目心中暗喜,这个好做,好歹都写过求两个字符串的最长公共子串,求一个字符串的重复子串

  • Linux 就该这么学

    Linux 内核已经发展到了4.13版本号,并且 Linux 系统版本号也有数百个之多,但它们依旧都使用 Linus Torvalds 开发、维护的 Linux 系统内核。RedHat 公司也成为了开源行业及 Linux 系统的带头公司。 在讲课时,我...

  • 微信公众账号开发

    微信开发 微信公众平台开发(82) 天气预报 ...摘要: 在这篇教程中,我们将介绍如何在微信公众平台上开发天气预报功能。我们将使用中国天气网的...下面我们介绍主要的几个:国家根节点接口:http://flash.weather.c

  • 基于springboot大学生就业信息管理系统源码数据库文档.zip

    基于springboot大学生就业信息管理系统源码数据库文档.zip

  • 基于java的驾校收支管理可视化平台的开题报告.docx

    基于java的驾校收支管理可视化平台的开题报告

  • 原木5秒数据20241120.7z

    时间序列 原木 间隔5秒钟 20241120

  • 毕业设计&课设_基于 Vue 的电影在线预订与管理系统:后台 Java(SSM)代码,为毕业设计项目.zip

    毕业设计&课设_基于 Vue 的电影在线预订与管理系统:后台 Java(SSM)代码,为毕业设计项目.zip

  • 基于springboot课件通中小学教学课件共享平台源码数据库文档.zip

    基于springboot课件通中小学教学课件共享平台源码数据库文档.zip

  • 基于java的网上购物商城的开题报告.docx

    基于java的网上购物商城的开题报告

  • delphi 12 控件之Delphi人脸检测与识别Demo1fdef-main.zip

    Delphi人脸检测与识别Demo1fdef-main.zip

  • 基于java的咖啡在线销售系统的开题报告.docx

    基于java的咖啡在线销售系统的开题报告

  • 基于java的自助医疗服务系统的开题报告.docx

    基于java的自助医疗服务系统的开题报告.docx

  • Visual Basic编程入门与高级应用详解

    内容概要:本文档全面介绍了Visual Basic(VB)编程语言的基础知识和高级应用。首先概述了VB的基本特性和开发环境,随后详细讲述了VB的数据类型、变量、运算符、控制结构、数组、过程与函数、变量作用域等内容。接着介绍了窗体设计、控件使用、菜单与工具栏的设计,文件操作、数据库访问等关键知识点。最后讨论了VB的学习方法、发展历史及其在桌面应用、Web应用、数据库应用、游戏开发和自动化脚本编写等领域的广泛应用前景。 适合人群:初学者和中级程序员,尤其是希望快速掌握Windows桌面应用开发的人群。 使用场景及目标:①掌握VB的基础语法和开发环境;②学会使用VB创建复杂的用户界面和功能完整的应用程序;③理解数据库操作、文件管理和网络编程等高级主题。 其他说明:Visual Basic是一种简单易学且功能强大的编程语言,尤其适合用于开发Windows桌面应用。文中不仅覆盖了基础知识,还包括了大量的实用案例和技术细节,帮助读者快速提升编程技能。

  • 基于java的疫情期间高校防控系统开题报告.docx

    基于java的疫情期间高校防控系统开题报告.docx

Global site tag (gtag.js) - Google Analytics