首页>新闻>苹果资讯>76款iOS人气应用被曝存漏洞 你用了几个?

76款iOS人气应用被曝存漏洞 你用了几个?

2017-02-08
6335
来源:威锋网

  在经过对 iOS App Store 中的二进制代码进行扫描之后,Will Strafach 的 verify.ly 服务检测到商店中有 76 款人气应用面临着数据受拦截的风险。不管 App Store 的开发者是否启用 App Transport Security 安全功能,这种数据拦截都有可能会发生。几个月之前,Experian 和 myFICO Mobile 公司的 iOS 应用中也发现了同样的漏洞。


76款iOS人气应用被曝存漏洞 你用了几个?


  Strafach 的 verify.ly 服务专用于扫描 iOS App Store 中的应用,查找漏洞,给开发者提供帮助,让他们知道应该如何强化自己的代码,保证其安全。该服务的扫描主要是为了发现漏洞的模式,更可怕的是有时候会发现这些漏洞不断地出现在各种应用之中。而这次的发现之所以这么令人担忧,不仅仅是因为发现的都是常用的应用,更因为这些应用已经被累计下载了 1800 万次,也就意味着目前有这么多用户都面临着风险。

  根据 Strafach 的介绍,在一定的 Wi-Fi 范围之内,如果用户的设备当前正在使用,那么这种类型的攻击就有可能会发生。它完全有可能发生在公共场所,甚至有可能在你的家里,只要攻击者和你的距离足够近。攻击者可以使用定制硬件或者是一个稍微经过修改的移动电话即可发起攻击,需要的设备取决于范围以及功能。如果要举一个例子来说明这种攻击的话,那就是攻击者能够近距离读取你的信用卡数据。

  受影响应用名单

  Strafach 在报告中已经将这些应用按照低风险和中高风险分类。其中低风险应用有 33 款:

  ooVoo、VivaVideo、Snap Upload for Snapchat、Uconnect Access、Volify 、Uploader Free for Snapchat、Epic! — Unlimited Books for Kids、Mico — Chat, Meet New People、Safe Up for Snapchat、腾讯微云、Uploader for Snapchat、华为 Huawei HiLink (Mobile WiFi)、VICE News、Trading 212 Forex & Stocks、途牛旅游-订机票酒店火车票汽车票特价旅行、CashApp 、FreeMyApps、1000 Friends for Snapchat 、YeeCall Messenger-Free Video Call&Conference Call、InstaRepost — Repost Videos & Photos for Instagram Free Whiz App、Loops Live、Privat24、Private Browser — Anonymous VPN Proxy Browser、AMAN BANK、FirstBank PR Mobile Banking、vpn free — OvpnSpider for vpngate、Gift Saga — Free Gift Card & Cash Rewards、Vpn One Click Professional、Music tube — free imusic playlists from Youtube、AutoLotto: Powerball, MegaMillions Lottery Tickets、Foscam IP Camera Viewer by OWLR for Foscam IP Cams、ScanLife QR and Barcode Reader。

  上述这些应用的数据被拦截的可能性比较低,Strafach 在报告中指出有些应用是其中的用户名和用户密码会被拦截,而有些是操作系统版本号、分析信息、机型、Wi-Fi 网络名称和 Wi-Fi 网络 BSSID 等会被拦截。

  中高风险分别有 24 款和 19 款,不过目前还没有公布名单。他们表示会先与受影响的银行、医疗服务提供方以及其他敏感应用的开发者联系之后,在未来 60-90 天再逐渐公开。目前因为敏感性这份名单仅提供给部分相关人员。

76款iOS人气应用被曝存漏洞 你用了几个?


  如何防范和避免

  App Transport Security(ATS)是苹果在 iOS 9 中引入的一项隐私保护功能,屏蔽明文 HTTP 资源加载,连接必须经过更安全的 HTTPS。此前苹果宣布到 2017 年 1 月 1 日,App Store 中的所有应用都必须启用 App Transport Security 安全功能,否则极有可能被拒!不过后来他们又延长了截止日期,目前还不知道最终日期是什么时候。
  
  针对这次出现的问题,Will Strafach 在报道中指出其实苹果方面也束手无策。如上文所介绍,苹果 ATS 也无法让用户避免这种风向。因为如果苹果想为了解决这个安全问题而去推翻这个功能的话,那么部分 iOS 应用会因此变得更加不安全,因为它们不能够在连接的过程中使用“证书锁定”(certificate pinning),而且它们也无法获得信任,否则使用内部 PKI 的企业局域网连接可能会需要不可信的证书。因此这个风险只能够是由开发者来帮助用户解除,或者说将风险降到最低,开发者必须强化他们的应用的安全性。

  用户也可以通过一些办法来保护自己的安全。正确配置 VPN 有助于缓解这个问题。如果用户不想使用 VPN 的话,那么 Strafach 建议用户关闭 Wi-Fi 连接,具体如下:如果你在公共场所的时候需要在自己的移动设备上执行某些敏感任务(比如你想打开银行用户,查看你的银行账户),你就可以在执行这个任务之前,现在设置中关闭“Wi-Fi”的开关,从而避开上述风险。

  即便是蜂窝网络其实也有风险,蜂窝拦截难度更高,需要一些非常昂贵的硬件设备,但是蜂窝拦截目标太大,很容易被发现,而且在某些国家这种拦截是非法的,因此攻击者一般不会尝试通过蜂窝网络去拦截用户的数据。

  对于在苹果应用商店中发布应用的开发商,Will Strafach建议在提交应用给苹果审核之前,先使用 verify.ly 服务进行扫描,它可以发现应用中存在的漏洞以及其他问题。然后再提供一份易读的报告,介绍所有可能存在的问题,以保证你的客户数据安全。

  另外 Will Strafach 也提醒开发者在插入与网络相关的代码,改变应用程序的行为时必须特别小心。很多与此相似的问题都是因为开发者从网络上复制代码的时候没有完全理解这些代码。

相关文章
  • iOS 11.2如何降级?

    iOS11.2作为最新的系统,部分旧设备升级后难免会卡顿、反应迟缓、发热、耗电等各种问题。如果你升级之后发现严重影响你的日常使用,那iOS 11.2怎么降级呢?降级可以通过爱思助手刷机,手机连接爱思助手后自动匹配对应可刷固件,可以避免不知道刷什么固件的烦恼。下面是降级详细步骤。降级前备份重要数据因为保资料降级刷机之后是可能导致设备无法开机的或者开机之后资料、应用/功能显示不正常的情况,所以降级不建议保留用户资料刷...

  • 升级iOS 14 后如何降级?iOS 14 降级 iOS 13教程

    如果你已经升级到 iOS 14并且过了尝鲜劲,现在想降回iOS 13,请参考以下教程。

  • iOS10怎么降级?iOS10降级iOS9教程

    升级iOS10之后很卡想降级怎么办?iOS 10怎么降级到iOS 9呢?由于iOS 10刚发布,稳定性肯定没那么高,耗电、不流畅、APP不兼容等都是有可能的,那么iOS 10如何降级呢?用爱思助手一键刷机就可以轻松降级到iOS 9系统了。iOS 10降级教程1、下载安装最新版爱思助手,并且用数据线连接电脑。2、把设备进入恢复模式,点击爱思助手上方的“刷机越狱”进入刷机界面。3、选择iOS 9.3.2系统,然后点击立即刷机即可。等待刷机完成,即可降级到...

  • iOS 11.0-iOS 14.3越狱后可以解除吗?如何解除iOS 11.0-iOS 14.3越狱

    就目前来说,iOS 11.0-iOS 14.3越狱还不是很稳定,会出现白苹果,卡顿,程序崩溃等各种现象,大家可以等待稳定版本出来之后再进行越狱,那已经进行越狱的用户如何取消现有的越狱呢?以下是解除iOS 11.0-iOS 14.3越狱方法教程。

  • iOS8.1.3-iOS8.4完美越狱图文教程

    越狱前注意事项1、 虽然越狱已稳定,但是基于越狱的特殊性,避免发生意外造成数据丢失请越狱前请提前备份重要数据。(可以使用爱思助手备份比如通讯录、照片等重要数据)2、 越狱前请首先关闭屏幕密码锁和“查找我的iPhone”功能。3、 越狱后若提示“存储容量几乎已满”的问题,可通过运行Cydia解决。4、 若越狱失败,建议关闭WiFi后尝试。若依旧失败,请使用爱思助手重刷后再越狱。5、爱思助手已支持iOS8.1.3-iOS8.4系统完美越狱...