示意圖,與新聞事件無關。

正在開發行動程式分析服務verify.ly的資安研究人員Will Strafach周二(2/7)指出,他發現蘋果的App Store上有76款iOS程式在應該受到TLS加密保護時允許中間人攻擊,讓駭客得以攔截或操縱傳輸中的資料,這些iOS程式的下載量總計超過了1800萬次。

verify.ly可用來掃描iOS程式的二元碼並產生可供人類閱讀的報告,報告中可呈現所有常見的安全問題,以及與該程式相關的安全資訊。

在Strafach所發現的76款iOS程式中,有33款屬於只會曝露部份機密資訊的低風險等級,包括騰訊雲、Music tube及VPN瀏覽器Private Browser等,有24款被列為中度風險的則是可攔截服務登入憑證及認證期間的令牌,至於19款高風險程式則能攔截金融或醫療服務的登入憑證與認證期間的令牌。

Strafach並未揭露被列為中高風險的行動程式名稱,他選擇先接洽了開發這些程式的銀行、醫療服務供應商與開發人員,預計會在兩、三個月內公布。

根據Bleeping Computer的報導,這些行動程式其實都遵守了蘋果的程式傳輸安全準測,以加密的HTTPS協定來處理程式與伺服器之間的機密資料傳送,只是開發人員在驗證HTTPS憑證時未符合正確規範,因而讓第三方有機可趁,可傳送偽造的SSL/TLS憑證並藉由代理伺服器竊聽程式的HTTPS流量。

Strafach亦說,這是個複雜的漏洞,且蘋果應無從著手解決,只有程式開發人員才能加以改善。幸好這個漏洞只會在程式使用Wi-Fi時才能被開採,因此建議使用者要傳遞機密資訊時最好切換成行動網路。


Advertisement

更多 iThome相關內容