研究人员揭露76款iOS程式可能曝露中间人攻击风险
正在开发行动程式分析服务verify.ly的资安研究人员Will Strafach周二(2/7)指出,他发现苹果的App Store上有76款iOS程式在应该受到TLS加密保护时允许中间人攻击,让骇客得以拦截或操纵传输中的资料,这些iOS程式的下载量总计超过了1800万次。
verify.ly可用来扫描iOS程式的二元码并产生可供人类阅读的报告,报告中可呈现所有常见的安全问题,以及与该程式相关的安全资讯。
在Strafach所发现的76款iOS程式中,有33款属于只会曝露部份机密资讯的低风险等级,包括腾讯云、Music tube及VPN浏览器Private Browser等,有24款被列为中度风险的则是可拦截服务登入凭证及认证期间的令牌,至于19款高风险程式则能拦截金融或医疗服务的登入凭证与认证期间的令牌。
Strafach并未揭露被列为中高风险的行动程式名称,他选择先接洽了开发这些程式的银行、医疗服务供应商与开发人员,预计会在两、三个月内公布。
根据Bleeping Computer的报导,这些行动程式其实都遵守了苹果的程式传输安全準测,以加密的HTTPS协定来处理程式与伺服器之间的机密资料传送,只是开发人员在验证HTTPS凭证时未符合正确规範,因而让第三方有机可趁,可传送伪造的SSL/TLS凭证并藉由代理伺服器窃听程式的HTTPS流量。
Strafach亦说,这是个複杂的漏洞,且苹果应无从着手解决,只有程式开发人员才能加以改善。幸好这个漏洞只会在程式使用Wi-Fi时才能被开採,因此建议使用者要传递机密资讯时最好切换成行动网路。
- 上一篇
Windows装置小心! Mirai木马程式来了
去年10月发动数十万物联网(IoT)装置大军的分散式阻断服务(DDoS)攻击,造成资安部落格KrebsOnSecurity停摆的Mirai木马程式本来只锁定Linux装置,现在俄国资安业者Dr. Web发现Mirai已经演化出能感染Windows装置的版本,扩大原始Mirai的感染範围。 新发现的
- 下一篇
苹果挖角亚马逊Fire TV大将,加速冲刺Apple TV业务!?
图片来源: Apple 根据彭博社报导,在亚马逊(Amazon)负责Fire TV事业部的Timothy Twerdahl近日已跳槽到苹果,担任苹果副总裁并主导Apple TV的产品行销策略,透露出苹果打算在机上盒市场力图振作。 苹果早在2007年就推出第一代的Apple TV,目前最新的版本为2