《腾讯微云》等76款iOS人气操纵被曝存缝隙.docxVIP

百度文库 百度文库 PAGE PAGE 1 《腾讯微云》等 《腾讯微云》等 76 款iOS 人气应 用被曝存漏洞：数据容易被拦截 在经过对 iOS App Store中的二进制代码进行扫描之后，Will Strafa 在经过对 iOS App Store中的二进制代码进行扫描之后，Will Strafac的h verify.ly 服务检测到商店中有 76 款人气应用面临着数据受拦截的风险。不管 App Store的 开发者是否启用 App TransportSecurity安全功能，这种数据拦截都有可能会发 生。几个月之前，Experian和 myFICO Mobile 公司的 iOS 应用中也发现了同样的 漏洞。 Strafach的 verify.l服y 务专用于扫描 iOS App Store中的应用，查找漏洞，给开发者提供帮助，让他们知道应该如何强化自己的代码，保证其安全。该服务的扫描主要是为了发现漏洞的模式，更可怕的是有时候会发现这些漏洞不断地出现在各种应用之中。而这次的发现之所以这么令人担忧，不仅仅是因为发现的都是常用的应用，更因为这些应用已经被累计下载了 1800 万次，也就意味着目前有这么多用户都面临着风险。 根据Strafach的介绍，在一定的 Wi-Fi范围之内，如果用户的设备当前正在使用，那么这种类型的攻击就有可能会发生。它完全有可能发生在公共场所，甚至有可能在你的家里，只要攻击者和你的距离足够近。攻击者可以使用定制硬件或者是一个稍微经过修改的移动电话即可发起攻击，需要的设备取决于范围以及功能。如果要举一个例子来说明这种攻击的话，那就是攻击者能够近距离读取你的信用卡数据。 受影响应用名单 Strafach在报告中已经将这些应用按照低风险和中高风险分类。其中低风险应用有 33 款： ooVoo 、VivaVideo、Snap Upload for Snapc、haUtconnect Acces、s Volify、Uploader Free for Snapc、haEtpic!—Unlimited Books for K、iMdisco —C hat, Meet New Peop、le Safe Up for Snapc、h腾at讯微云、Uploader for Snapc、h华at为 Huawei HiLink (Mobile WiFi)、VICE News 、Trading 212 Forex Sto、ck途s 牛旅游-订机票酒店火车票汽车票特价旅行、 CashApp 、FreeMyApps 、1000 Friendsfor Snapchat、YeeCall Messenger-Free Video CallConference 、CaIlnlstaRepos—t R epost Videos Photos for Instagram Free Whiz 、ALpopops Live、Privat2、4 Private Brows—er A nonymous VPN Proxy Browser、AMAN BANK 、FirstBank PR Mobile Banki、ngvpn fre—e O vpnSpider for vpng、atGeift Sag—a Free Gift Card Cash Rew、arVdpsn One Click Profession、alMusic tube—free imusic playlists from Y、ouAtuutboeLotto: Powerball, MegaMillions Lottery Tick 、etFsoscam IP Camera Viewer by OWLR for Foscam IP Cams 、ScanLife QR and Barcode Read。er 上述这些应用的数据被拦截的可能性比较低，Strafach在报告中指出有些应用是其中的用户名和用户密码会被拦截，而有些是操作系统版本号、分析信息、机型、Wi-Fi 网络名称和 Wi-Fi 网络 BSSID 等会被拦截。 中高风险分别有 24 款和 19 款，不过目前还没有公布名单。他们表示会先与受影 响的银行、医疗服务提供方以及其他敏感应用的开发者联系之后，在未来 60-90 天再逐渐公开。目前因为敏感性这份名单仅提供给部分相关人员。 如何防范和避免 App Transport Secur（itAyTS ）是苹果在iOS9 中引入的一项隐私保护功能，屏蔽明文 HTTP 资源加载，连接必须经过更安全的HTTPS 。此前苹果宣布到2017 年1 月 1 日，App Store中的所有应用都必须启用 App Transport Securi安ty全功能， 否则极有可能被拒！不过后来