掃描Prone Prone Apps的App Store是一項艱鉅的工作,但是Will Strafach的驗證服務已檢測到該商店中有76個流行的應用程序目前容易出現數據攔截。
該發現與App Store開發人員是否利用Apple的App Transport Security的發現無關,即使完全合規,應用程序仍然存在脆弱性。鑑於App Store中當前可用的應用程序數量,這些應用程序數量可能並不像是很多,但這些應用程序是最受歡迎的品種,累積的1800萬下載。這是很多人容易進入數據的人。
verify.ly將應用程序分為三類;低,中和高風險,甚至命名其中一些受影響的命名。也就是說,尚未命名19個高和24個中型風險應用程序,Strafach更喜歡保證所有涉及這些應用程序的開發人員已提前通知。 33個已經命名的低風險應用程序包括許多與Snapchat相關的應用程序,並包括Viavideo,Snap Publish for Snapchat和Snapchat的上傳器免費。 Strafach還提供了Cheetah瀏覽器和Oovoo等。
Strafach說:“ iOS的APP運輸安全功能不會,也不能阻止這種漏洞的工作。” Apple作為iOS 9的一部分引入的ATS是通過鼓勵應用程序及其開發人員使用HTTP來傳輸數據來提高用戶安全和隱私的。
蘋果公司確實設定了2017年1月1日的日期,以使所有應用程序配置該功能,但是該日期考慮到了。目前,蘋果根本沒有使用新約會。從我們對當今手頭問題的理解中,攻擊將利用誤導性的網絡代碼,反過來又會導致App Transport Safety相信連接是合法的TLS連接,即使它們沒有。
蘋果方面沒有任何解決方案,因為如果它們要覆蓋此功能以阻止此安全性問題,那麼實際上它將使某些iOS應用程序更加安全,因為它們無法使用固定的證書來固定其連接的證書,而且它們不能依賴於其他不受信任的證書,這些證書可能是使用內部PKI內部企業內部連接所需的。因此,責任僅基於應用程序開發人員本身,以確保其應用程序不脆弱。
在應用程序開發人員推出的修復之前,用戶可以嘗試通過使用VPN或簡單地避免公開WiFi訪問點來最大程度地降低對數據注入犯規的風險 – 無論如何,這兩者都是良好的安全實踐。或只需刪除應用程序更新之前。
(來源:將Strafach [媒介])
您可能還想檢查一下:
iOS 10.3 beta 2:更改還是新功能添加?
下載:iOS 10.3 Beta 2發布,帶有查找我的AirPods功能等等
iPhone 7,Plus,6s,iPad Pro的越獄iOS 10 / 10.2 / 10.1.1使用Yalu [更新]
iPhone和iPad的越獄iOS 10.2.1 / 10.3 [最新狀態更新]
您可以在Twitter上關注我們,將我們添加到Google+上的您的圈子中,或者喜歡我們的Facebook頁面,以使自己了解Microsoft,Google,Apple和Web的所有電流。