應用分析服務公司SourceDNA週一釋出報告稱,約1500項iOS應用存在“HTTPS-crippling”漏洞。該漏洞允許駭客截獲使用者的加密資訊,如密碼、銀行賬號或其他高度敏感資訊。
該漏洞存在於早期版本的AFNetworking中。AFNetworking是一個開源的網路開發框架,允許開人員在自己的應用中新增網路功能。雖然最新的2.5.2版本已於三週前修復了該漏洞,但至少仍有1500項iOS應用在使用存在隱患的2.5.1版本。
駭客只需利用WiFi網路監測存在漏洞的iOS裝置,然後利用一個假冒的安全證書即可發動攻擊。正常情況下,這個假冒的證書立即就會被識破。但由於2.5.1版本程式碼的邏輯錯誤,它並不會對該假冒證書進行驗證,因此被視為合法證書。