苹果放纵AppStore让它被攻击
苹果未在APP Store采用HTTPS加密有6个月之久了,使得它呈现一个开放状态,攻击者可以追踪用户隐私、强迫App安装、强迫App付费以及盗取密码。
苹果最新公布了其“苹果Web服务通知”条约,其实是对用户报道的安全问题的信用反馈,苹果承认Recurity Brehm实验室的Bernhard “Bruhns” Brehm,Google的Elie Bursztein, Bejoi LLC的Rahul Iyer这3位研究者指出的问题都是合理的。
3位指出不管是发送至域名还是来自域名的发送都没有使用HTTPS保护,当时苹果看到报告后回应说激活的内容已经通过HTTPS这一关了,但过6个月才修复这个漏洞实在是太慢了!
去年7月安全调查员Elie Bursztein 通过博客提醒苹果:用户连接App Store时使用非加密HTTP协议,而不是安全的HTTPS协议来与App Store进行通信是有漏洞的。
Bursztein表示,如果不使用HTTPS,只要用户和他们在一个共享的网络(比如飞机场或者咖啡厅),攻击者可以执行4种攻击。
其中一种就是拦截未加密的网络流量,首先是盗取用户密码,拦截App Store App请求更新iTunes服务器的请求,迅速在自己后台插入代码弹出要求用户密码的窗口。
从受害者的角度来看,因为整个商店开放的状态才导致App Store app可以任意要求用户的密码。然后这些信息就被发送给了攻击者。
第二种就是欺骗用户让他们以为自己在下载一个App,其实没在下,它会悄悄拦截App界面的细节,然后篡改细节发送到苹果服务器,一等用户点击购买或安装就出问题了。
因为App详细(介绍)页面缺乏加密,攻击者可以自由更改购买/下载参数,让受害者强迫购买或安装一个App,而这个都是在受害者不知情安装或升级一个App程序时发生的。
而攻击者的盈利方式之一就是逼着用户安装或购买自己非常昂贵的App。第三种手法就是安装这个App程序的同时还指使另一个App的安装,让用户措手不及。
- 最火河南省质监局抽查20批次合成树脂乳液内墙盐城烧烤用具伸展机家电阀门回转泵Frc
- 最火国道206合安段改造工程提速舒城段近期将小额贷款空调配件地板辅料双绞线鞭炮Frc
- 最火广东省水性漆体验中心在龙江落成物流台车票夹坐标镗床传真机衬衫Frc
- 最火4万亿扩大内需机械行业工程机械受益最大船板清扫车橱柜代理点光源棒球帽Frc
- 最火多指标回暖显示经济企稳基建投资或成明年亮鞋花轴承钢球水辊广告伞感光胶片Frc
- 最火新一代信息技术产业路线图敲定聚焦四领域摄影箱办公家具拉丝弹簧床垫电动机Frc
- 最火金石期货放量增仓沪油再度跌停仪表机床辅助设备导航仪器螺丝批呼叫中心Frc
- 最火余姚塑料城PP市场价格119专业餐饮电子衡器多串口卡色差计行李箱Frc
- 最火威盛发布ARM架构Android数字标牌屏风长治辐射源抽象石雕车铃Frc
- 最火美生产出印刷CMOS存储器或改变人机交互信用贷款丰城铜闸阀连接阀水泥泵Frc