Verify.ly,一项扫描iOS应用程序的二进制代码以检测与该应用程序有关的安全问题的服务已经披露,76个iOS应用程序的总下载量为1800万次,不受静音拦截受TLS保护的数据的保护。
在测试过程中,所有76个应用程序,包括几个VPN应用程序,浏览器应用程序以及流行的副新闻应用程序都被发现容易受到静默的中间人攻击,这会使用户数据面临风险。
安全漏洞允许攻击者轻松拦截和操纵用户数据。
“我们的系统将数百个应用程序标记为极有可能容易受到数据拦截。 我能够使用运行iOS 10的实时iPhone和“恶意”代理完全确认(app漏洞)将无效的TLS证书插入连接进行测试,“Verify.ly创始人Will Strafach写道。
该报告发现,其中33个易受攻击的iOS应用程序属于低风险组,24个属于中等风险组,19个属于高风险组。
虽然低风险和中等风险的应用程序组不容易截获可能具有破坏性的机密用户数据,但其中19个高风险应用程序被认为具有中继金融或医疗服务登录凭据的高度漏洞。
大多数人会争辩说,此类攻击需要您的设备与攻击者在同一个互联网连接上 - 通常是公共Wi-Fi连接 - 但这并非完全正确。
“问题的真相是,这种攻击可以在设备的Wi-Fi范围内进行,也可以在设备使用时进行。 如果攻击者可以在近距离范围内,这可以是公共场所,甚至是你家中的任何地方。“Strafach补充道。
这不是第一次在iOS应用程序中发现此类漏洞。 仅举几例,卡巴斯基安全浏览器,益百利,戴尔SecureWorks等iOS应用程序存在类似的漏洞问题。“像这样的许多问题都来自于应用程序开发人员没有完全理解他们从网上借来的代码,”他补充道。
该报告还指出,为了保护机密信息安全,建议在登录银行帐户以执行交易或检查余额时关闭Wi-Fi并使用手机数据,因为蜂窝网络连接相对难以入侵。