76款iOS人氣應用被曝存漏洞 你用的安全嗎手機
在經過對iOS App Store中的二進制代碼進行掃描后,Will Strafach的verify.ly服務檢測到商店中有76款人氣應用面臨著數據受攔截的風險。不管App Store的開發者是否啟用App Transport Security安全功能,這種數據攔截都有可能會發生。幾個月前,Experian和myFICO Mobile公司的iOS應用中也發現了同樣的漏洞。
Strafach的verify.ly服務專用于掃描iOS App Store中的應用,查找漏洞,給開發者提供幫助,讓他們知道應該如何強化自己的代碼,保證其安全。該服務的掃描主要是為了發現漏洞的模式,更可怕的是有時候會發現這些漏洞不斷地出現在各種應用之中。而這次的發現之所以這么令人擔憂,不僅僅是因為發現的都是常用的應用,更因為這些應用已經被累計下載了1800萬次,也就意味著目前有這么多用戶都面臨著風險。
根據Strafach的介紹,在一定的Wi-Fi范圍之內,如果用戶的設備當前正在使用,那么這種類型的攻擊就有可能會發生。它完全有可能發生在公共場所,甚至有可能在你的家里,只要攻擊者和你的距離足夠近。攻擊者可以使用定制硬件或者是一個稍微經過修改的移動電話即可發起攻擊,需要的設備取決于范圍以及功能。如果要舉一個例子來說明這種攻擊的話,那就是攻擊者能夠近距離讀取你的信用卡數據。
受影響應用名單
Strafach在報告中已經將這些應用按照低風險和中高風險分類。其中低風險應用有33款:
ooVoo、VivaVideo、Snap Upload for Snapchat、Uconnect Access、Volify?、Uploader Free for Snapchat、Epic!?—?Unlimited Books for Kids、Mico?—?Chat, Meet New People、Safe Up for Snapchat、騰訊微云、Uploader for Snapchat、華為 Huawei HiLink (Mobile WiFi)、VICE News、Trading 212 Forex & Stocks、途牛旅游-訂機票酒店火車票汽車票特價旅行、CashApp?、FreeMyApps、1000 Friends for Snapchat?、YeeCall Messenger-Free Video Call&Conference Call、InstaRepost?—?Repost Videos & Photos for Instagram Free Whiz App、Loops Live、Privat24、Private Browser?—?Anonymous VPN Proxy Browser、AMAN BANK、FirstBank PR Mobile Banking、vpn free?—?OvpnSpider for vpngate、Gift Saga?—?Free Gift Card & Cash Rewards、Vpn One Click Professional、Music tube?—?free imusic playlists from Youtube、AutoLotto: Powerball, MegaMillions Lottery Tickets、Foscam IP Camera Viewer by OWLR for Foscam IP Cams、ScanLife QR and Barcode Reader。
上述這些應用的數據被攔截的可能性比較低,Strafach在報告中指出有些應用是其中的用戶名和用戶密碼會被攔截,而有些是操作系統版本號、分析信息、機型、Wi-Fi網絡名稱和Wi-Fi網絡BSSID等會被攔截。
中高風險分別有24款和19款,不過目前還沒有公布名單。他們表示會先與受影響的銀行、醫療服務提供方以及其他敏感應用的開發者聯系之后,在未來 60-90 天再逐漸公開。目前因為敏感性這份名單僅提供給部分相關人員。
如何防范和避免
App Transport Security(ATS)是蘋果在iOS 9中引入的一項隱私保護功能,屏蔽明文HTTP資源加載,連接必須經過更安全的HTTPS。此前蘋果宣布到2017年1月1日,App Store中的所有應用都必須啟用App Transport Security安全功能,否則極有可能被拒!不過后來他們又延長了截止日期,目前還不知道最終日期是什么時候。
針對這次出現的問題,Will Strafach在報道中指出其實蘋果方面也束手無策。如上文所介紹,蘋果ATS也無法讓用戶避免這種風向。因為如果蘋果想為了解決這個安全問題而去推翻這個功能的話,那么部分iOS應用會因此變得更加不安全,因為它們不能夠在連接的過程中使用“證書鎖定”(certificate pinning),而且它們也無法獲得信任,否則使用內部 PKI 的企業局域網連接可能會需要不可信的證書。因此這個風險只能夠是由開發者來幫助用戶解除,或者說將風險降到最低,開發者必須強化他們的應用的安全性。
用戶也可以通過一些辦法來保護自己的安全。正確配置VPN有助于緩解這個問題。如果用戶不想使用VPN的話,那么Strafach建議用戶關閉Wi-Fi連接,具體如下:如果你在公共場所的時候需要在自己的移動設備上執行某些敏感任務(比如你想打開銀行用戶,查看你的銀行賬戶),你就可以在執行這個任務之前,現在設置中關閉“Wi-Fi”的開關,從而避開上述風險。
即便是蜂窩網絡其實也有風險,蜂窩攔截難度更高,需要一些非常昂貴的硬件設備,但是蜂窩攔截目標太大,很容易被發現,而且在某些國家這種攔截是非法的,因此攻擊者一般不會嘗試通過蜂窩網絡去攔截用戶的數據。
對于在蘋果應用商店中發布應用的開發商,Will Strafach建議在提交應用給蘋果審核之前,先使用verify.ly服務進行掃描,它可以發現應用中存在的漏洞以及其他問題。然后再提供一份易讀的報告,介紹所有可能存在的問題,以保證你的客戶數據安全。
另外Will Strafach也提醒開發者在插入與網絡相關的代碼,改變應用程序的行為時必須特別小心。很多與此相似的問題都是因為開發者從網絡上復制代碼的時候沒有完全理解這些代碼。
【來源:97973手游網】
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。
