BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

知名开源库AFNetworking曝SSL漏洞,2.5万iOS应用受影响

| 作者 谢丽 关注 12 他的粉丝 发布于 2015年5月7日. 估计阅读时间: 3 分钟 | ArchSummit北京2018 共同探讨机器学习、信息安全、微服务治理的关键点

AFNetworking是一个开源代码库,允许开发人员向iOS和OS X应用添加网络功能。2015年4月20日,安全分析创业公司SourceDNA曝光了AFNetworking中一个影响了1500多个iOS应用的漏洞。不过很快,AFNetworking 2.5.2就修复了该漏洞。然而三天之后,SourceDNA又曝出了AFNetworking中一个更为严重的漏洞。该漏洞至少影响了苹果应用商店中25000个iOS应用。


据Arstechnica报道,该漏洞是因为AFNetworking默认未检查证书中的域名与它所保护的HTTPS服务器的域名一致所导致的。攻击者使用任意合法的SSL证书搭配任意域名就可以利用该漏洞进行中间人攻击,即使这些数据是通过SSL协议传输。SourceDNA公司创始人Nate Lawson告诉Arstechnica:


如果一个应用使用了这个有缺陷的库,那么拥有任意合法证书的攻击者都可以窃取或修改由这个应用发起的会话。这个是因为,虽然证书经过验证,可以保证是由合法的证书颁发机构所颁发,但证书中的域名没有验证。比如,攻击者提供域名“sourcedna.com”的一个合法证书就可以伪装成“microsoft.com”。


SourceDNA公司的Ivan Leichtling最早发现了该漏洞。但让他们觉得奇怪的是,AFNetworking 2.5.2没有修复该Bug,因为在3月底的时候,AFNetworking维护者就号称已经通过更新代码修复了它。AFNetworking2.5.2修复了攻击者可以使用自签名证书监听iOS应用与其服务器之间加密通讯的问题,但没有认真校验可信签名证书是否是颁发给某个合法域名,从而导致了新的安全问题。目前任何使用AFNetworking 2.5.3以下版本的应用都可能将数据暴露给攻击者。SourceDNA建议开发人员,如果使用了AFNetworking,务必要升级到最新版本。并且还需启用公钥或者“证书锁定(certificate pinning)”。


SourceDNA提供了一款免费在线检测工具,iOS用户可以通过该服务检查他们使用的应用是否仍然处于易受攻击的状态。之所以没有提供一个易受攻击的应用的列表,是为了防止被攻击者滥用。但大量知名应用都面临这一漏洞的威胁,包括但不限于雅虎和微软的iOS应用以及国内外众多金融类Apps,等。


感谢魏星对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT