一点号GDCA数安时代1小时前
苹果IOS系统最近又摊上大事了
据报道,安全研究员对iOS移动应用的研究发现,苹果应用商店中有很多流行iOS应用存在一个安全漏洞,可将用户暴露在中间人攻击的危险之中。测试这些应用的iPhone手机系统为iOS 10,并最终确定有76款应用受影响。
76款应用,1800万用户受影响
该漏洞可能导致的危害有泄露用户敏感信息,包括金融服务账号密码、医疗服务账号密码、会话验证令牌等。粗略估计,大概有1800万用户可能会受到影响(有超过1800万用户下载了这些应用),可见危害程度之高。测试中,发现有76款流行的iOS应用可能会发生中间人攻击,攻击者可以利用iOS应用后端服务加密通信方式中的漏洞劫持用户信息。
有19个iOS应用被标记为高危,可能泄露用户敏感信息 有24个iOS应用被标记为中危,可能会泄露用户登录凭证和会话验证令牌 有33个iOS应用被标记为低危,攻击者可以利用漏洞劫持部分敏感信息,比如邮箱地址和登录凭证。去年,苹果公司强制要求IOS所有APP开发者在2017年前启动ATS安全标准。但因为种种原因,苹果公司不得不做出延迟执行ATS安全标准。时至今日,IOS仍未全面执行ATS标准,却被报道多款应用存在安全漏洞,客户敏感信息被劫持的信息。估计苹果公司十分后悔当时没有按照原计划强制要求所有的APP开发执行ATS标准。
该漏洞信息曝光后,估计苹果公司立即做出漏洞修复决策,降低安全风险,挽回不必要的损失。另一方面该事件也许会让苹果公司加快执行ATS安全标准的步伐,毕竟提升应用的安全等级才是保障安全的基本标准。
据调查,IOS系统中仍有大量的APP仍然没有达到ATS安全标准的要求,大部分的开发者抱有一种侥幸的心态,认为ATS不一定会全面执行;或者一种拖延的心态,直到标准期限的最后一刻,才会寻求安全标准的解决方案。
苹果IOS系统的ATS安全标准
服务器必须支持传输层安全(TLS)协议1.2以上版本; 通讯加密套件仅限支持完全正向加密的套件; 证书必须使用SHA256或更高的哈希算法签名;以及2048位以上RSA密钥或256位以上ECC密钥。为了帮助各大开发者顺利完成苹果IOS系统的ATS标准,GDCA特别推出ATS标准的全面解决方案。GDCA旗下产品SSL证书符合ATS安全标准部署,全面支持ATS标准。具体可点击“苹果 ATS标准解决方案”。在移动互联如此繁荣的今天,我们享受快捷与便利的同时,也承担着网络安全所带来的困扰与风险。GDCA安全专家建议各大开发者及早完成ATS安全标准部署,不要等到出现安全风险才后悔莫及。苹果公司强制推行ATS协议,是对用户信息安全的考量,更是对应用厂商必须承担起保护用户信息安全责任的要求。
