有一篇文章《HTTPS漏洞导致1500项iOS应用存在安全隐患》提到:约1500项iOS应用存在“HTTPS-crippling”漏洞,该漏洞存在于AFNetworking中。
AFNetworking是一个流行的开放源代码库,使开发人员能够让联网功能集成到他们的iOS和OS X的产品。但是,它没有检查其SSL证书域名。
而SourceDNA(一个初创公司,它提供代码分析服务)再度发布报告称,使用低于刚刚发布的最新版本AFNetworking 2.5.3开发的苹果应用程序都可能容易影响,它可能允许黑客窃取或篡改数据,即使该应用程序受SSL(Secure Sockets Layer,安全套接层)协议保护。攻击者可以利用该漏洞使用任何有效的SSL域名证书,只要来自于受信任的证书颁发机构(CA)。
SourceDNA的创始人Nate Lawson称,“这意味着,咖啡店攻击者仍然可以窃听私人数据或控制应用程序和互联网之间的SSL会话。”例如,可以假装是“Facebook.com”只是提出一个有效的SSL证书“sourcedna.com”。
Lawson预计超过25,000 iOS应用程序受影响。另外,为了防止黑客利用该漏洞,SourceDNA还没有透露受影响的iOS应用程序列表,但例如雅虎和微软的iOS应用程序,仍然容易受到该HTTPS漏洞的侵害。
SourceDNA也还提供了一个免费的搜索工具,供开发人员和终端用户查看他们的应用程序是否存在漏洞。不过,该公司建议开发者集成最新AFNetworking版本(2.5.3)到其产品中,以便在默认情况下启用域名验证
