代码审计发现超过25000脆弱的应用程序在iTunes Bug SSL库使窃听容易.灰鸽子下载
代码审计发现超过25000脆弱的应用程序在iTunes Bug SSL库使窃听容易.灰鸽子下载交通的严重缺陷的加密和会话验证组件所使用的开源框架的iTunes出售的许多iOS开发人员为他们的应用程序可能会让成千上万的用户的流量窃听。
SourceDNA发现AFNetworking框架为苹果iOS和OS X操作系统不默认检查域名TLS / SSL(传输层安全性/安全套接字层)在之前版本2.5.2和会话。
所有攻击者利用缺陷,需要做SourceDNA说,是获得一个便宜的,合法的SSL证书为web服务器拦截用户通信会话,似乎是安全的,通过假装任何域的名称是无效的。
目前,超过25000应用在苹果iTunes商店使用AFNetworking脆弱的版本。
使用证书寄——技术,告诉浏览器只接受特定证书——将使域验证。然而,SourceDNA指出,一些iOS开发者打开证书寄,建议技术更频繁地用于额外的安全。
SourceDNA早前通过一个代码审计发现AFNetworking会接受签名SSL证书,这意味着任何人都可以创建这些和现在是合法用户,一个场景SourceDNA称为“游戏结束”,因为它可能导致广泛的SSL安全的破坏,灰鸽子远程控制软件,远程控制软件。
2.5.3 AFNetworking包含版本的bug修复缺乏SSL证书域名验证。
安全厂商鼓励开发人员跟踪他们的源代码,以确保组件使用最新的安全补丁
灰鸽子使用教程.灰鸽子教程.
页:
[1]