护垫厂家
免费服务热线

Free service

hotline

010-00000000
护垫厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

苹果放纵AppStore让它被攻击

发布时间:2020-02-11 06:11:52 阅读: 来源:护垫厂家

苹果未在APP Store采用HTTPS加密有6个月之久了,使得它呈现一个开放状态,攻击者可以追踪用户隐私、强迫App安装、强迫App付费以及盗取密码。

苹果最新公布了其“苹果Web服务通知”条约,其实是对用户报道的安全问题的信用反馈,苹果承认Recurity Brehm实验室的Bernhard “Bruhns” Brehm,Google的Elie Bursztein, Bejoi LLC的Rahul Iyer这3位研究者指出的问题都是合理的。

3位指出不管是发送至域名还是来自域名的发送都没有使用HTTPS保护,当时苹果看到报告后回应说激活的内容已经通过HTTPS这一关了,但过6个月才修复这个漏洞实在是太慢了!

去年7月安全调查员Elie Bursztein 通过博客提醒苹果:用户连接App Store时使用非加密HTTP协议,而不是安全的HTTPS协议来与App Store进行通信是有漏洞的。

Bursztein表示,如果不使用HTTPS,只要用户和他们在一个共享的网络(比如飞机场或者咖啡厅),攻击者可以执行4种攻击。

其中一种就是拦截未加密的网络流量,首先是盗取用户密码,拦截App Store App请求更新iTunes服务器的请求,迅速在自己后台插入代码弹出要求用户密码的窗口。

从受害者的角度来看,因为整个商店开放的状态才导致App Store app可以任意要求用户的密码。然后这些信息就被发送给了攻击者。

第二种就是欺骗用户让他们以为自己在下载一个App,其实没在下,它会悄悄拦截App界面的细节,然后篡改细节发送到苹果服务器,一等用户点击购买或安装就出问题了。

因为App详细(介绍)页面缺乏加密,攻击者可以自由更改购买/下载参数,让受害者强迫购买或安装一个App,而这个都是在受害者不知情安装或升级一个App程序时发生的。

而攻击者的盈利方式之一就是逼着用户安装或购买自己非常昂贵的App。第三种手法就是安装这个App程序的同时还指使另一个App的安装,让用户措手不及。

代理记账多少钱

广州筹划税务技巧

深圳工作签证延期

相关阅读