这应该iOS应用的几十到被加密的用户数据没有做正确,根据安全研究人员。
威尔Strafach,须藤安集团的首席执行官说,他发现有76个iOS应用易受可以拦截保护数据的攻击。
该应用程序的开发者不小心错误地配置了网络相关的代码,因此它会接受一个无效的传输层安全(TLS)证书,Strafach声称在周一的博客文章。
TLS使用过互联网连接,以确保应用程序的通信。没有它,黑客基本上可以窃听通过网络来窥探任何数据应用程序发送,如登录信息。
“这种攻击可以通过Wi-Fi范围的设备中的任何一方进行,而它在使用,” Strafach说。“这可能是在公众场合,甚至在您家里的任何地方,如果攻击者能够近距离内搞定。”
Strafach通过他的公司开发的安全服务扫描他们发现了76个应用的漏洞,verify.ly,其中他的推动。它标记“数以百计的应用程序”数据截取的可能性很高。
他至今证实,这些76个应用具有的脆弱性。他通过运行其上的iPhone运行iOS 10和使用代理插入一个无效的TLS证书到连接这样做。
Strafach宣布应用程序43是高或中等风险,因为他们冒着暴露登录信息和认证令牌。他们有些是从“银行,医疗机构,以及敏感的应用其他开发商,”他说。
他没有透露自己的名字,给他们时间来修补问题。
因为他们发现只有部分敏感数据,如电子邮件地址,剩下的33个应用程序被认为是低风险的。它们包括免费的短信服务ooVoo的视频上传到Snapchat和鲜为人知的音乐流媒体服务,等等。
在所有的76个应用有18次亿的下载量,根据应用程序市场跟踪Apptopia,Strafach说。
Strafach,谁一直试图联系开发商说,这将是最多的应用程序开发人员来解决这个问题,但只涉及改变的几行代码。
包括他在博客中开发一些警告。
“将与网络相关的代码,并改变应用程序的行为时,要特别小心,”他写道。“像这样的许多问题,从应用程序开发人员出现不完全了解,他们已经从网上借的代码。”
受影响的应用程序,用户可以通过关闭在公共场所时,在Wi-Fi保护自己,Strafach说。这将迫使手机中使用到互联网的蜂窝连接,使得它更难任何黑客窃听,除非他们使用昂贵的和非法设备,Strafach说。