流行iOS網(wǎng)絡(luò)通信庫AFNetworking曝SSL漏洞,影響銀聯(lián)、中國銀行、交通銀行在內(nèi)的2.5萬個iOS應(yīng)用
責(zé)編:admin |2015-04-27 10:25:12一個存在于流行開源iOS網(wǎng)絡(luò)通信庫AFNetworking中的嚴重漏洞使得蘋果應(yīng)用商店中的25000個iOS應(yīng)用中的HTTPS流量暴露在中間人(MITM)攻擊之下。
AFNetworking是一款大名鼎鼎的開源網(wǎng)絡(luò)庫,能夠讓開發(fā)者們在iOS和OS X程序中加入網(wǎng)絡(luò)功能。但是,這款庫沒有檢查SSL證書是否是頒發(fā)給某個合法域名。這直接導(dǎo)致了任何使用了早于2.5.3版本的AFNetworking的iOS程序都存在漏洞,即使程序由SSL加密數(shù)據(jù),黑客可以竊取和篡改數(shù)據(jù)。
使用任何SSL證書解密HTTPS加密數(shù)據(jù)
攻擊者可以使用任何SSL證書解密加密數(shù)據(jù)——證書只要是由可信的證書機構(gòu)(CA)發(fā)布的都行,而這類證書50美元就可以買到。
“這就是說,咖啡店里的攻擊者仍然能夠?qū)?yīng)用與互聯(lián)網(wǎng)之間傳輸?shù)碾[私數(shù)據(jù)進行監(jiān)聽甚至是控制SSL會話。”
舉個例子,攻擊者可以使用FreeBuf.com的證書來偽造facebook.com的。
來自Yelp的Ivan Leichtling報告稱,漏洞估計能夠影響25,000個iOS應(yīng)用。
2.5.2版沒能修復(fù)漏洞
AFNetworking在其最新發(fā)行的2.5.3版本中修復(fù)了這個漏洞。而在其上一個版本(2.5.2)中,AFNetworking修復(fù)了另一個SSL相關(guān)的漏洞,卻沒有修復(fù)這個。
之前大家以為AFNetworking 2.5.2解決了SSL證書驗證的問題,那個問題是:攻擊者可以使用自簽名的證書截聽iOS應(yīng)用于服務(wù)器之間的加密的敏感數(shù)據(jù)。
因此,任何有條件進行中間人攻擊的人,比如在不安全的Wifi網(wǎng)絡(luò)中的黑客,VPN網(wǎng)絡(luò)中的壞職工或者國家支持的黑客,只要使用證書管理機構(gòu)(CA)頒發(fā)的證書,就可以監(jiān)控或者修改通信。
大量知名APP中槍
安全公司SourceDNA快速掃描iOS市場中存在漏洞的iOS應(yīng)用,發(fā)現(xiàn)了包括美國銀行、美國富國銀行、摩根大通等APP都可能受到影響,而來自頂尖開發(fā)者諸如雅虎和微軟的iOS應(yīng)用也存在這個漏洞。
FreeBuf測試了幾款國內(nèi)金融類APP,發(fā)現(xiàn)銀聯(lián)、中國銀行、交通銀行的APP紛紛中招。
安全建議
為了防止黑客利用漏洞,SourceDNA沒有公開存在漏洞的iOS應(yīng)用。安全研究人員建議開發(fā)者將最新版本(2.5.3)的AFNetworking整合到應(yīng)用中去,這個版本默認開啟了域名驗證功能。(在之前的版本中實際上是有域名驗證功能的,但是要開啟validatesDomainName屬性,而它默認是關(guān)閉的)
安全研究人員還建議用戶立即檢查他們所使用應(yīng)用的狀態(tài),特別是那些使用銀行帳號信息等敏感信息的應(yīng)用。
文章來源:Freebuf黑客與極客(FreeBuf.COM)
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧