严重的SSL漏洞使25000个iOS应用易受黑客攻击

AFN网络可能允许攻击者通过以下方式破坏苹果应用商店中25000个iOS应用的HTTPS保护：中间人攻击.

 

AFNetworking是一个流行的开源代码库，开发者可以在iOS和OS X产品中加入网络功能。但是，它无法检查为其颁发SSL证书的域名。

 

任何使用最新版本2.5.3之前的AFNetworking版本的Apple iOS应用程序都可能容易受到该漏洞的攻击，该漏洞可能允许黑客窃取或篡改数据，即使该应用程序受SSL（安全套接字层）协议.

 

比如说，我可以假装脸谱网。通用域名格式“只需为提供有效的SSL证书”黑客新闻。通用域名格式.'

 

据估计，该漏洞会影响25000多个iOS应用程序，该漏洞由微软发现并报告伊万·莱赫特林来自Yelp。

 

AFNetworking在前一版本2.5.2之前的最新版本2.5.3中修复了该问题，该版本无法修补另一个与SSL相关的漏洞。

 

 

此前人们认为，随着AFNetworking 2.5.2的发布，SSL证书验证的缺失问题已经消除，这使得拥有自签名证书的黑客能够拦截来自易受攻击的iOS应用程序的加密流量，并查看发送到服务器的敏感数据。

 

然而，即使在修补漏洞之后，SourceDNA也会扫描iOS应用程序中存在的易受攻击的代码，并发现许多iOS应用程序在此之前都容易受到该漏洞的攻击。

 

因此，任何处于中间位置的人，比如不安全Wi-Fi网络上的黑客，虚拟专用网络中的流氓员工，或者国家资助的黑客r、 出示自己的CA颁发的证书可以监视或修改受保护的通信。

 

大型开发者的应用被发现存在漏洞。认真地

 

在域名验证关闭的情况下快速检查iOS产品；这家安全公司发现，美国银行、富国银行和摩根大通等重要开发商的应用程序可能会受到影响。

 

源DNA同时，雅虎和微软等顶级开发者的iOS应用仍然容易受到HTTPS严重漏洞的攻击。

 

为了防止黑客利用该漏洞，SourceDNA没有公布易受攻击的iOS应用程序列表。

 

然而，该公司建议开发商集成最新的AFN网络构建（2.5.3）进入他们的产品，以便在默认情况下启用域名验证。

 

SourceDNA还提供了一个免费的检查工具，可以帮助开发者和最终用户检查他们的应用程序是否存在漏洞。

 

与此同时，iOS用户还应立即检查应用程序的状态他们使用，尤其是那些使用银行账户详细信息或任何其他敏感信息的应用程序。

 

在易受攻击应用的开发者发布更新之前，用户应该暂时避免使用任何易受攻击的应用版本。