原标题:研究人员揭露76款iOS程式可能曝露中间人攻击风险
示意图,与新闻事件无关。
正在开发行动程式分析服务verify.ly的资安研究人员Will Strafach周二(2/7)指出,他发现苹果的App Store上有76款iOS程式在应该受到TLS加密保护时允许中间人攻击,让骇客得以拦截或操纵传输中的资料,这些iOS程式的下载量总计超过了1800万次。
verify.ly可用来扫描iOS程式的二元码并产生可供人类阅读的报告,报告中可呈现所有常见的安全问题,以及与该程式相关的安全资讯。
在Strafach所发现的76款iOS程式中,有33款属于只会曝露部份机密资讯的低风险等级,包括腾讯云、Music tube及VPN浏览器Private Browser等,有24款被列为中度风险的则是可拦截服务登入凭证及认证期间的令牌,至于19款高风险程式则能拦截金融或医疗服务的登入凭证与认证期间的令牌。
Strafach并未揭露被列为中高风险的行动程式名称,他选择先接洽了开发这些程式的银行、医疗服务供应商与开发人员,预计会在两、三个月内公布。
根据Bleeping Computer的报导,这些行动程式其实都遵守了苹果的程式传输安全準测,以加密的HTTPS协定来处理程式与伺服器之间的机密资料传送,只是开发人员在验证HTTPS凭证时未符合正确规範,因而让第三方有机可趁,可传送伪造的SSL/TLS凭证并藉由代理伺服器窃听程式的HTTPS流量。
Strafach亦说,这是个複杂的漏洞,且苹果应无从着手解决,只有程式开发人员才能加以改善。幸好这个漏洞只会在程式使用Wi-Fi时才能被开採,因此建议使用者要传递机密资讯时最好切换成行动网路。
iThome Security
相关:
锁定微软SMB漏洞的概念性验证程式被公开,Windows 10在內多个系统遭殃
示意图,与新闻事件无关。 图片来源: Microsoft 美国电脑紧急事件应变小组(United States Computer Emergency Readiness Team,US-CERT)在周四(2/2)警告,微软Windows在处理伺服器讯息区块(Server Message Bl
:【资安周报第59期】寻找台湾资安新动能系列报道(三):TWCERT/CC主责台湾民间企业资安通报,打造台版VirusTotal检测政府和民间企业恶意程式样本
TWCERT/CC除了自建台版VirusTotal恶意样本检测平台外,也会将触角深入到国外资安组织,进行更多元的资安情资交换。 图片来源: TWCERT/CC提供 根据行政院资安处的规画,未来所有民间机构的资安事件通报都将由TWCERT
图片来源: Zimperium 行动资安业者Zimperium本周公开对外收购锁定行动平台的过期零时差攻击程式,Zimperium并未公布收购每个过期攻击程式的金额,仅说总共编列了150万美元的预算。坊间或黑市所叫卖的通常是零时差(z
这套系统可透过穿戴装置侦测两人的对话音调。 图片来源: Jason Dorfman/MIT CSAIL 麻省理工学院(MIT)的科学家们正在打造一个可根据人们谈话所使用的字彙及语气来预测对方情绪的行动程式,此一基于人工智慧(AI)
示意图,与新闻事件无关。 图片来源: Netgear 来自Trustwave的安全研究人员Simon Kenin于本周披露,Netgear旗下的31款路由器含有密码外洩漏洞,若未波及上百万台也至少影响数十万台的Netgear装置。Netgear则已释出