资讯频道 互联网
阅读更多

0顶
0踩

互联网

原创新闻 HTTPS漏洞依旧存在,约25000个iOS应用可被窃 听

2015-04-27 09:27 by 副主编 mengyidan1988 评论(1) 有4533人浏览
ios 互联网 HTTPS

声明:ITeye资讯文章的版权属于ITeye网站所有,严禁任何网站转载本文,否则必将追究法律责任!

本周一有一篇文章《HTTPS漏洞导致1500项iOS应用存在安全隐患》提到:约1500项iOS应用存在“HTTPS-crippling”漏洞,该漏洞存在于AFNetworking中。
引用
AFNetworking是一个流行的开放源代码库,使开发人员能够让联网功能集成到他们的iOS和OS X的产品。但是,它没有检查其SSL证书域名。

而SourceDNA(一个初创公司,它提供代码分析服务)再度发布报告称,使用低于刚刚发布的最新版本AFNetworking 2.5.3开发的苹果应用程序都可能容易影响,它可能允许黑客窃取或篡改数据,即使该应用程序受SSL(Secure Sockets Layer,安全套接层)协议保护。攻击者可以利用该漏洞使用任何有效的SSL域名证书,只要来自于受信任的证书颁发机构(CA)。

SourceDNA的创始人Nate Lawson称,“这意味着,咖啡店攻击者仍然可以窃 听私人数据或控制应用程序和互联网之间的SSL会话。”例如,可以假装是“Facebook.com”只是提出一个有效的SSL证书“sourcedna.com”。

Lawson预计超过25,000 iOS应用程序受影响。另外,为了防止黑客利用该漏洞,SourceDNA还没有透露受影响的iOS应用程序列表,但例如雅虎和微软的iOS应用程序,仍然容易受到该HTTPS漏洞的侵害。



SourceDNA也还提供了一个免费的搜索工具,供开发人员和终端用户查看他们的应用程序是否存在漏洞。不过,该公司建议开发者集成最新AFNetworking版本(2.5.3)到其产品中,以便在默认情况下启用域名验证。

消息来自:Ars Technica
  • 大小: 48.3 KB
0
0
评论 共 1 条 请登录后发表评论
1 楼 samm 2015-04-28 16:21
这不能说https本身有漏洞,只是ios上一个https的实现有漏洞。

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Global site tag (gtag.js) - Google Analytics