在經(jīng)過對iOS App Store中的二進制代碼進行掃描之后����,Will Strafach的verify.ly服務(wù)檢測到商店中有76款人氣應(yīng)用面臨著數(shù)據(jù)受攔截的風(fēng)險����。不管App Store的開發(fā)者是否啟用App Transport Security安全功能����,這種數(shù)據(jù)攔截都有可能會發(fā)生。幾個月之前�����,Experian和myFICO Mobile公司的iOS應(yīng)用中也發(fā)現(xiàn)了同樣的漏洞�。
Strafach的verify.ly服務(wù)專用于掃描iOS App Store中的應(yīng)用,查找漏洞���,給開發(fā)者提供幫助���,讓他們知道應(yīng)該如何強化自己的代碼,保證其安全���。該服務(wù)的掃描主要是為了發(fā)現(xiàn)漏洞的模式�����,更可怕的是有時候會發(fā)現(xiàn)這些漏洞不斷地出現(xiàn)在各種應(yīng)用之中�����。而這次的發(fā)現(xiàn)之所以這么令人擔(dān)憂����,不僅僅是因為發(fā)現(xiàn)的都是常用的應(yīng)用,更因為這些應(yīng)用已經(jīng)被累計下載了1800萬次�����,也就意味著目前有這么多用戶都面臨著風(fēng)險����。
根據(jù)Strafach的介紹,在一定的Wi-Fi范圍之內(nèi)��,如果用戶的設(shè)備當(dāng)前正在使用�����,那么這種類型的攻擊就有可能會發(fā)生�����。它完全有可能發(fā)生在公共場所,甚至有可能在你的家里���,只要攻擊者和你的距離足夠近。攻擊者可以使用定制硬件或者是一個稍微經(jīng)過修改的移動電話即可發(fā)起攻擊���,需要的設(shè)備取決于范圍以及功能�����。如果要舉一個例子來說明這種攻擊的話���,那就是攻擊者能夠近距離讀取你的數(shù)據(jù)。
受影響應(yīng)用名單
Strafach在報告中已經(jīng)將這些應(yīng)用按照低風(fēng)險和中高風(fēng)險分類���。其中低風(fēng)險應(yīng)用有33款:
ooVoo����、VivaVideo�、Snap Upload for Snapchat、Uconnect Access����、Volify �、Uploader Free for Snapchat���、Epic! — Unlimited Books for Kids����、Mico — Chat, Meet New People���、Safe Up for Snapchat��、��、Uploader for Snapchat��、華為Huawei HiLink (Mobile WiFi)�����、VICE News���、Trading 212 Forex & Stocks、途牛旅游-訂機票酒店火車票汽車票特價旅行、CashApp �、FreeMyApps、1000 Friends for Snapchat �、YeeCall Messenger-Free Video Call&Conference Call、InstaRepost — Repost Videos & Photos for Instagram Free Whiz App�����、Loops Live�����、Privat24�、Private Browser — Anonymous VPN Proxy Browser���、AMAN BANK��、FirstBank PR Mobile Banking���、vpn free — OvpnSpider for vpngate、Gift Saga — Free Gift Card & Cash Rewards�、Vpn One Click Professional、Music tube — free imusic playlists from Youtube����、AutoLotto: Powerball, MegaMillions Lottery Tickets����、Foscam IP Camera Viewer by OWLR for Foscam IP Cams����、ScanLife QR and Barcode Reader。
上述這些應(yīng)用的數(shù)據(jù)被攔截的可能性比較低����,Strafach在報告中指出有些應(yīng)用是其中的用戶名和用戶密碼會被攔截,而有些是操作系統(tǒng)版本號��、分析信息���、機型����、Wi-Fi網(wǎng)絡(luò)名稱和Wi-Fi網(wǎng)絡(luò)BSSID等會被攔截���。
中高風(fēng)險分別有24款和19款����,不過目前還沒有公布名單。他們表示會先與受影響的�、醫(yī)療服務(wù)提供方以及其他敏感應(yīng)用的開發(fā)者聯(lián)系之后,在未來60-90天再逐漸公開���。目前因為敏感性這份名單僅提供給部分相關(guān)人員�����。
如何防范和避免
App Transport Security(ATS)是蘋果在iOS9中引入的一項隱私保護功能�,屏蔽明文HTTP資源加載����,連接必須經(jīng)過更安全的HTTPS。此前蘋果宣布到2017年1月1日�,App Store中的所有應(yīng)用都必須啟用App Transport Security安全功能�����,否則極有可能被拒�!不過后來他們又延長了截止日期,目前還不知道最終日期是什么時候���。
針對這次出現(xiàn)的問題����,Will Strafach在報道中指出其實蘋果方面也束手無策。如上文所介紹���,蘋果ATS也無法讓用戶避免這種風(fēng)向����。因為如果蘋果想為了解決這個安全問題而去推翻這個功能的話��,那么部分iOS應(yīng)用會因此變得更加不安全��,因為它們不能夠在連接的過程中使用“證書鎖定”(certificate pinning)�����,而且它們也無法獲得信任�,否則使用內(nèi)部PKI的企業(yè)局域網(wǎng)連接可能會需要不可信的證書。因此這個風(fēng)險只能夠是由開發(fā)者來幫助用戶解除�����,或者說將風(fēng)險降到最低�,開發(fā)者必須強化他們的應(yīng)用的安全性。
用戶也可以通過一些辦法來保護自己的安全��。正確配置VPN有助于緩解這個問題。如果用戶不想使用VPN的話����,那么Strafach建議用戶關(guān)閉Wi-Fi連接,具體如下:如果你在公共場所的時候需要在自己的移動設(shè)備上執(zhí)行某些敏感任務(wù)(比如你想打開用戶����,查看你的賬戶),你就可以在執(zhí)行這個任務(wù)之前����,現(xiàn)在設(shè)置中關(guān)閉“Wi-Fi”的開關(guān),從而避開上述風(fēng)險����。
即便是蜂窩網(wǎng)絡(luò)其實也有風(fēng)險,蜂窩攔截難度更高��,需要一些非常昂貴的硬件設(shè)備����,但是蜂窩攔截目標太大����,很容易被發(fā)現(xiàn)����,而且在某些國家這種攔截是非法的����,因此攻擊者一般不會嘗試通過蜂窩網(wǎng)絡(luò)去攔截用戶的數(shù)據(jù)。
對于在蘋果應(yīng)用商店中發(fā)布應(yīng)用的開發(fā)商����,Will Strafach建議在提交應(yīng)用給蘋果審核之前,先使用verify.ly服務(wù)進行掃描��,它可以發(fā)現(xiàn)應(yīng)用中存在的漏洞以及其他問題���。然后再提供一份易讀的報告����,介紹所有可能存在的問題��,以保證你的客戶數(shù)據(jù)安全����。
另外Will Strafach也提醒開發(fā)者在插入與網(wǎng)絡(luò)相關(guān)的代碼,改變應(yīng)用程序的行為時必須特別小心�。很多與此相似的問題都是因為開發(fā)者從網(wǎng)絡(luò)上復(fù)制代碼的時候沒有完全理解這些代碼�。
