一项研究结果显示,几十个流行的iOS应用程序受到漏洞影响,攻击者可发动中间人攻击从本应受TLS保护的连接中静默拦截数据。
专注从iOS app中找到安全问题的厂商verify.ly分析了苹果应用商店中的多款应用程序后发现数百款app易受数据拦截影响。专家在运行iOS 10的iPhone上测试后确认76款app易受攻击。
安全专家兼开发人员Will Strafach指出,受影响应用程序的下载次数超过了1800万次。该漏洞的危害程度是高危,因为它们会泄露医疗服务凭证或会话验证口令。
研究人员识别出33款低风险app,攻击者仅能拦截部分敏感信息,包括仅适用于收信人网络的分析数据、邮件地址和登录凭证。这些app包括银行、VPN、娱乐、新闻、股票交易、聊天和跟Snapchat相关的app。
研究人员指出,这种中间人攻击可由使用中设备WiFi范围内的任何人实施。此类攻击可通过定制化硬件或者稍作修改的移动电话实施,这要取决于所要求的范围和能力。此类攻击最常见的形式是从近距离读取信用卡数据。
由于开发人员实现网络代码的方式有问题,这类app易受中间人攻击,也就是说只有开发人员能够正确解决这个问题。然而,终端用户也可以通过手机数据连接类型使用受影响应用程序的方式免受攻击,因为这种方式要比WiFi安全。
CERT/CC曾在2014年对安卓app进行了自动化分析,结果显示数千款应用程序易受中间人攻击,且很多app至今仍是这种状态。