研究人员称,数十个iOS应用程序未能保护用户数据
根据安全研究人员,几十个应该加密他们的用户的IOS应用程序“Data Dod”T的数据正确地完成。
Sudo Security Group首席执行官的Strafach表示,他发现了76个iOS应用程序,这些应用程序容易受到可以拦截受保护数据的攻击。
应用程序的开发人员意外地误解了网络相关的代码,因此它将接受无效的传输层安全(TLS)证书,Strafach在星期一博客帖子中声明。
TLS用于保护应用程序在Internet连接上的通信。如果没有它,黑客可以基本上窃听网络以间谍到应用程序发送的任何数据,例如登录信息。
“这种攻击可以由您在设备中的Wi-Fi范围内的任何一方进行,”Strafach说。“如果攻击者可以在近距离范围内,这可能是公共场所的任何地方,甚至在您家中。”
Strafach通过扫描其公司开发的安全服务,验证,验证了76个应用程序中的漏洞。它标记为“数百个应用程序”,具有高可能性拦截的可能性。
到目前为止,他确认这76个应用程序具有脆弱性。他在运行iOS 10的iPhone上运行它们并使用代理将无效的TLS证书插入连接时,他这样做了。
StraFach声明了43个应用程序是一种高或中等风险,因为它们风险曝光登录信息和身份验证令牌。其中一些来自“银行,医疗提供者和其他敏感应用的开发人员”,他说。
他没有披露他们的名字,让他们有时间修补问题。
其余33个应用程序被视为低风险,因为它们仅显示了部分敏感的数据,例如电子邮件地址。它们包括免费消息服务Oovoo,视频上传器到Snapchat和较少的音乐流媒体服务,其中许多其他人。
总之,据App Parket Tracter Apptopia表示,76 Apps有1800万下载,Strafach表示。
它将取决于应用程序开发人员来解决问题,但它只涉及改变几行代码,STRAFACH说,他们一直在尝试联系开发人员。
他包括博客文章中开发人员的一些警告。
他写道,“插入网络相关的代码和更改应用程序行为时非常小心”。“这样的许多问题来自应用程序开发人员并不完全了解他们从网络借来的代码。”
Strafach说,受影响应用的用户可以通过关闭公共场所的Wi-Fi来保护自己。Strafach表示,除非他们使用昂贵和非法的设备,否则将迫使手机与互联网连接到互联网上的蜂窝连接,使任何黑客更难窃听。
