设为首页收藏本站

龙城玩家网论坛-户外求生-文玩鉴赏-太原论坛-山西论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信扫码登录

使用验证码登录

用百度帐号登录

只需两步,快速登录

搜索
查看: 2801|回复: 0
打印 上一主题 下一主题

姗姗来迟 苹果修补App Store密码盗取漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-10 16:26:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

不知道大家是否记得,就在去年7月份,一个谷歌的安全研究者发现了苹果iOS App商城的很多漏洞,这些漏洞是由于苹果缺乏执行HTTPS加密所造成的。终于在6个月以后,苹果公司终于开始在App商城使用HTTPS,大家在2013年1月23日的更新中可以看到。而现在,这个研究者发表了他的发现,如同Elie Bursztein在其博客上描述的那样,App商城加密的缺乏会让恶意的用户拦截一个合法iOS用户的密码,强迫用户下载另外不同的app,这些app并不是他们本想下载的,还会阻止app一起安装或者控制app的升级,最后也会造成用户安装不一样的app。在某些情况下,这些app替换技术会让用户去花钱购买app,但是其实他们本意是想去下载免费的app。虽然这种漏洞的攻击需要保证用户和攻击者在相同的一个WiFi网络里,但是这种情景在公共场合还是很常见的,比如机场或者咖啡厅。

话说这种密码盗取的漏洞的确非常恼人,正如我们去年夏天得知,一旦黑客们掌握了用户的苹果ID,会给设备造成无法估计的伤害。需要质疑的是,为什么苹果用了六个月的时间去修复这个问题,Bursztein说他早在2012年的7月初就给苹果发出警告,并报告了他的发现,而苹果只是在今年1月初才开启了HTTPS加密。此外,App商城已经在没有HTTPS加密的情况存在了很多年,庆幸的是,这些漏洞并没有造成大面积的恐慌,也没有很多人意识到。但是,如果苹果想要继续取笑安卓的安全问题,大概应该先做好表率作用吧,以后再发生这类安全问题时需要更迅速的处理。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 用百度帐号登录

本版积分规则

小黑屋|手机版|Archiver|龙城玩家网 ( 晋ICP备12002025号-1 )|晋公网安备 14010702070511号   

GMT+8, 2024-11-24 09:50 , Processed in 0.168561 second(s), 21 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表