爱思助手

76款iOS人气应用被曝存漏洞 你用了几个?

  在经过对 iOS App Store 中的二进制代码进行扫描之后,Will Strafach 的 verify.ly 服务检测到商店中有 76 款人气应用面临着数据受拦截的风险。不管 App Store 的开发者是否启用 App Transport Security 安全功能,这种数据拦截都有可能会发生。几个月之前,Experian 和 myFICO Mobile 公司的 iOS 应用中也发现了同样的漏洞。


76款iOS人气应用被曝存漏洞 你用了几个?


  Strafach 的 verify.ly 服务专用于扫描 iOS App Store 中的应用,查找漏洞,给开发者提供帮助,让他们知道应该如何强化自己的代码,保证其安全。该服务的扫描主要是为了发现漏洞的模式,更可怕的是有时候会发现这些漏洞不断地出现在各种应用之中。而这次的发现之所以这么令人担忧,不仅仅是因为发现的都是常用的应用,更因为这些应用已经被累计下载了 1800 万次,也就意味着目前有这么多用户都面临着风险。

  根据 Strafach 的介绍,在一定的 Wi-Fi 范围之内,如果用户的设备当前正在使用,那么这种类型的攻击就有可能会发生。它完全有可能发生在公共场所,甚至有可能在你的家里,只要攻击者和你的距离足够近。攻击者可以使用定制硬件或者是一个稍微经过修改的移动电话即可发起攻击,需要的设备取决于范围以及功能。如果要举一个例子来说明这种攻击的话,那就是攻击者能够近距离读取你的信用卡数据。

  受影响应用名单

  Strafach 在报告中已经将这些应用按照低风险和中高风险分类。其中低风险应用有 33 款:

  ooVoo、VivaVideo、Snap Upload for Snapchat、Uconnect Access、Volify 、Uploader Free for Snapchat、Epic! — Unlimited Books for Kids、Mico — Chat, Meet New People、Safe Up for Snapchat、腾讯微云、Uploader for Snapchat、华为 Huawei HiLink (Mobile WiFi)、VICE News、Trading 212 Forex & Stocks、途牛旅游-订机票酒店火车票汽车票特价旅行、CashApp 、FreeMyApps、1000 Friends for Snapchat 、YeeCall Messenger-Free Video Call&Conference Call、InstaRepost — Repost Videos & Photos for Instagram Free Whiz App、Loops Live、Privat24、Private Browser — Anonymous VPN Proxy Browser、AMAN BANK、FirstBank PR Mobile Banking、vpn free — OvpnSpider for vpngate、Gift Saga — Free Gift Card & Cash Rewards、Vpn One Click Professional、Music tube — free imusic playlists from Youtube、AutoLotto: Powerball, MegaMillions Lottery Tickets、Foscam IP Camera Viewer by OWLR for Foscam IP Cams、ScanLife QR and Barcode Reader。

  上述这些应用的数据被拦截的可能性比较低,Strafach 在报告中指出有些应用是其中的用户名和用户密码会被拦截,而有些是操作系统版本号、分析信息、机型、Wi-Fi 网络名称和 Wi-Fi 网络 BSSID 等会被拦截。

  中高风险分别有 24 款和 19 款,不过目前还没有公布名单。他们表示会先与受影响的银行、医疗服务提供方以及其他敏感应用的开发者联系之后,在未来 60-90 天再逐渐公开。目前因为敏感性这份名单仅提供给部分相关人员。

76款iOS人气应用被曝存漏洞 你用了几个?


  如何防范和避免

  App Transport Security(ATS)是苹果在 iOS 9 中引入的一项隐私保护功能,屏蔽明文 HTTP 资源加载,连接必须经过更安全的 HTTPS。此前苹果宣布到 2017 年 1 月 1 日,App Store 中的所有应用都必须启用 App Transport Security 安全功能,否则极有可能被拒!不过后来他们又延长了截止日期,目前还不知道最终日期是什么时候。
  
  针对这次出现的问题,Will Strafach 在报道中指出其实苹果方面也束手无策。如上文所介绍,苹果 ATS 也无法让用户避免这种风向。因为如果苹果想为了解决这个安全问题而去推翻这个功能的话,那么部分 iOS 应用会因此变得更加不安全,因为它们不能够在连接的过程中使用“证书锁定”(certificate pinning),而且它们也无法获得信任,否则使用内部 PKI 的企业局域网连接可能会需要不可信的证书。因此这个风险只能够是由开发者来帮助用户解除,或者说将风险降到最低,开发者必须强化他们的应用的安全性。

  用户也可以通过一些办法来保护自己的安全。正确配置 VPN 有助于缓解这个问题。如果用户不想使用 VPN 的话,那么 Strafach 建议用户关闭 Wi-Fi 连接,具体如下:如果你在公共场所的时候需要在自己的移动设备上执行某些敏感任务(比如你想打开银行用户,查看你的银行账户),你就可以在执行这个任务之前,现在设置中关闭“Wi-Fi”的开关,从而避开上述风险。

  即便是蜂窝网络其实也有风险,蜂窝拦截难度更高,需要一些非常昂贵的硬件设备,但是蜂窝拦截目标太大,很容易被发现,而且在某些国家这种拦截是非法的,因此攻击者一般不会尝试通过蜂窝网络去拦截用户的数据。

  对于在苹果应用商店中发布应用的开发商,Will Strafach建议在提交应用给苹果审核之前,先使用 verify.ly 服务进行扫描,它可以发现应用中存在的漏洞以及其他问题。然后再提供一份易读的报告,介绍所有可能存在的问题,以保证你的客户数据安全。

  另外 Will Strafach 也提醒开发者在插入与网络相关的代码,改变应用程序的行为时必须特别小心。很多与此相似的问题都是因为开发者从网络上复制代码的时候没有完全理解这些代码。