|
不知道大家是否记得,就在去年7月份,一个谷歌的安全研究者发现了苹果iOS App商城的很多漏洞,这些漏洞是由于苹果缺乏执行HTTPS加密所造成的。终于在6个月以后,苹果公司终于开始在App商城使用HTTPS,大家在2013年1月23日的更新中可以看到。而现在,这个研究者发表了他的发现,如同Elie Bursztein在其博客上描述的那样,App商城加密的缺乏会让恶意的用户拦截一个合法iOS用户的密码,强迫用户下载另外不同的app,这些app并不是他们本想下载的,还会阻止app一起安装或者控制app的升级,最后也会造成用户安装不一样的app。在某些情况下,这些app替换技术会让用户去花钱购买app,但是其实他们本意是想去下载免费的app。虽然这种漏洞的攻击需要保证用户和攻击者在相同的一个WiFi网络里,但是这种情景在公共场合还是很常见的,比如机场或者咖啡厅。 
话说这种密码盗取的漏洞的确非常恼人,正如我们去年夏天得知,一旦黑客们掌握了用户的苹果ID,会给设备造成无法估计的伤害。需要质疑的是,为什么苹果用了六个月的时间去修复这个问题,Bursztein说他早在2012年的7月初就给苹果发出警告,并报告了他的发现,而苹果只是在今年1月初才开启了HTTPS加密。此外,App商城已经在没有HTTPS加密的情况存在了很多年,庆幸的是,这些漏洞并没有造成大面积的恐慌,也没有很多人意识到。但是,如果苹果想要继续取笑安卓的安全问题,大概应该先做好表率作用吧,以后再发生这类安全问题时需要更迅速的处理。
| 
发表于 2013-3-10 16:26:24
QQ好友和群
收藏
支持
反对