SSL信息
带有破损证书验证的iOS应用程序正将用户数据置于风险之中......
76个iOS应用被发现存在SSL/TLS配置错误,攻击者可利用漏洞潜入用户所在网络,盗取敏感信息。其中,超过半数的应用程序会泄露用登陆信息,19个应用涉及银行类、金融类和医药类服务。
致力于怼研究iOS应用程序打假安全问题的verify.ly成员Will Strafach近日在个人博客上揭了76个苹果应用的老底。这项漏洞说新不新,它基于一个基本的错误SSL/TLS配置,早就让不少应用程序和软件栽过跟头。不过,这次Strafach的研究竟爆料出了76个易中招的iOS应用程序,据移动应用程序市场数据分析公司Apptopia称,这些应用加起来累计下载量多达180万次。
这项漏洞易受中间人攻击和攻击者自签发SSL证书的影响。攻击者通过伪装成服务器获取用户在APP中的数据。由于这些应用均没有正确配置证书验证,它们可以轻易地接受任何不可信证书。
这项攻击只会发生在攻击者和用户使用同一网络的情况。也就是说,公共Wifi网络的中招率是最高的,就算你的网络设置了密码也无济于事。Strafach建议用户在使用这些APP时关闭无线网络,改用数据网络。因为你的数据网络供应商比起wifi要难攻击得多。
Strafach将这些应用基于受攻击时可能被拦截的数据类型分为低、中级、高危。低危指的是那些仅能获取用户低价值信息(如邮箱)的应用。中等风险分类意味着攻击可用于拦截登录凭据和/或会话令牌。当这些证书用于金融或医疗服务时,它们属于高风险类别。在博客中,Strafach列举出了所有低危应用程序的名单,而为了给开发者足够的时间修补漏洞,中高危漏洞并未爆料在博文中。
“受影响的应用程序配置错误,设置违反默认验证,这样应用程序将接受任何[证书颁发机构]签署的任何[证书],而不是使用[证书颁发机构]默认存储的受信任根“,Strafach指出。当然,受影响的应用可能不止这些,但在默认状态下大部分应用都不会受到影响。
苹果在推进互联网生态至HTTPS这件事上一向身先士卒,其应用传输安全(ATS)标准就要求应用程序使用HTTPS链接保障用户数据安全。然而,ATS并没有要求证书验证,也无法阻止这个漏洞。这似乎是一个疏漏,但如果苹果公司严格执行证书验证作为ATS的一部分,不少依赖于intranet链接或私人CA的应用程序和服务就用不了了。
多年来,证书签发机构已不再为本地主机名和IP地址签发证书,为的是阻止部分攻击,但同时也减少了公共可信证书的用处。讽刺的是,正是这些所谓的规矩把SSL/TLS部署变成了一桩更难的事,让部分开发者被迫采纳不安全的配置,才造成了今天这样的漏洞。
Will Strafach的博文及相关热门应用名单请戳此处。