|
代码审计发现超过25000脆弱的应用程序在iTunes Bug SSL库使窃听容易.灰鸽子下载
交通的严重缺陷的加密和会话验证组件所使用的开源框架的iTunes出售的许多iOS开发人员为他们的应用程序可能会让成千上万的用户的流量窃听。
SourceDNA发现AFNetworking框架为苹果iOS和OS X操作系统不默认检查域名TLS / SSL(传输层安全性/安全套接字层)在之前版本2.5.2和会话。
所有攻击者利用缺陷,需要做SourceDNA说,是获得一个便宜的,合法的SSL证书为web服务器拦截用户通信会话,似乎是安全的,通过假装任何域的名称是无效的。
目前,超过25000应用在苹果iTunes商店使用AFNetworking脆弱的版本。
使用证书寄——技术,告诉浏览器只接受特定证书——将使域验证。然而,SourceDNA指出,一些iOS开发者打开证书寄,建议技术更频繁地用于额外的安全。
SourceDNA早前通过一个代码审计发现AFNetworking会接受签名SSL证书,这意味着任何人都可以创建这些和现在是合法用户,一个场景SourceDNA称为“游戏结束”,因为它可能导致广泛的SSL安全的破坏,灰鸽子远程控制软件,远程控制软件。
2.5.3 AFNetworking包含版本的bug修复缺乏SSL证书域名验证。
安全厂商鼓励开发人员跟踪他们的源代码,以确保组件使用最新的安全补丁
|
|