HTTPS漏洞导致1500项iOS应用存在安全隐患

应用分析服务公司SourceDNA周一发布报告称，约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞存在于早期版本的AFNetworking中。AFNetworking是一个开源的网络开发框架，允许开人员在自己的应用中添加网络功能。虽然最新的2.5.2版本已于三周前修复了该漏洞，但至少仍有1500项iOS应用在使用存在隐患的2.5.1版本。该漏洞允许黑客截获用户的加密信息，如密码、银行账号或其他高度敏感信息。

要利用该漏洞发动攻击，黑客只需利用网吧或其他地方的WiFi网络监测存在漏洞的iOS设备，然后利用一个假冒的安全套接字层证书即可发动攻击。正常情况下，这个假冒的证书立即就会被识破。但由于2.5.1版本代码的逻辑错误，它并不会对该假冒证书进行验证，因此被视为合法证书。

据SourceDNA预计，有200多万用户安装了这些存在安全隐患的应用，如Citrix OpenVoice Audio Conferencing、阿里巴巴(Alibaba.com)的移动应用、KYBankAgent 3.0和Revo Restaurant Point of Sale等。

极客头条正式开通了微信公众号，刊选每日精华内容和最新的资讯文章。在微信搜索“csdn_geek”或扫描下方的二维码。