当数百万iPhone和iPad用户使用的应用程序在用于建立HTTPS连接的第三方代码中引入缺陷时,容易被窥探。
这个漏洞位于一个名为AFNetworking的开源库中,该库被成千上万的iOS和Mac OS X应用程序用于与Web服务进行通信。该漏洞在建立安全HTTPS(基于SSL / TLS的HTTP)连接时禁用了服务器提供的数字证书的验证。
这意味着攻击者可以在受影响的应用程序和HTTPS服务器之间拦截加密通信,以解密和修改数据通过提供虚假证书的应用程序。这被称为中间人攻击,可以通过不安全的无线网络,通过黑客入侵路由器以及通过其他方法启动。
[进一步阅读:如何从Windows PC删除恶意软件]该缺陷对iOS生态系统的影响很难衡量,因为该漏洞仅影响使用2月9日发布的特定版本AFNetworking-2.5.1的应用程序,其中仅依赖于库的SSL / TLS功能。
该漏洞在3月26日发布的AFNetworking 2.5.2中得到修复,因此该漏洞在六周内活跃了一段时间。在该时间框架内有多少iOS应用程序已更新为易受攻击的版本,其中有多少用于建立HTTPS通信?一家名为SourceDNA的公司跟踪iOS和Android应用程序中第三方组件的使用,声称有答案。
App Store中有140万个iOS应用程序使用AFNetworking库,该公司周一在一篇博客文章中表示。其中,在漏洞存在期间已更新或发布了大约20,000个。
SourceDNA为易受攻击的AFNetworking代码创建了一个签名,并扫描了这两万个应用程序,以查看其中有多少人拥有它。扫描结果显示,55%的用户使用旧的和安全的2.5.0版本的库,另外40%根本没有使用该库的脆弱的SSL / TLS API(应用程序编程接口),5%或大约1,000个应用程序易受攻击。
10万个容易受到攻击的应用程序可能听起来不算太糟糕,但实际上是考虑到它们包含来自雅虎,微软,优步科技,思杰等知名厂商的流行应用程序。令我们惊讶的是,一个引发安全漏洞仅仅六周的开源库让数百万用户受到攻击,“SourceDNA表示,”包括雅虎在内的一些厂商已经修补了他们的应用程序,但其他厂商依然存在漏洞。 SourceDNA创建了一个网站,允许用户检查他们安装的应用程序是否存在漏洞。
