流行iOS网络通信库AFNetworking曝SSL漏洞,影响银联、中国银行、交通银行在内的2.5万个iOS应用

2015-04-26 +5 594483人围观 ,发现 20 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

一个存在于流行开源iOS网络通信库AFNetworking中的严重漏洞使得苹果应用商店中的25000个iOS应用中的HTTPS流量暴露在中间人(MITM)攻击之下。

AFNetworking是一款大名鼎鼎的开源网络库,能够让开发者们在iOS和OS X程序中加入网络功能。但是,这款库没有检查SSL证书是否是颁发给某个合法域名。这直接导致了任何使用了早于2.5.3版本的AFNetworking的iOS程序都存在漏洞,即使程序由SSL加密数据,黑客可以窃取和篡改数据。

使用任何SSL证书解密HTTPS加密数据

攻击者可以使用任何SSL证书解密加密数据——证书只要是由可信的证书机构(CA)发布的都行,而这类证书50美元就可以买到。

"这就是说,咖啡店里的攻击者仍然能够对应用与互联网之间传输的隐私数据进行监听甚至是控制SSL会话。"

举个例子,攻击者可以使用FreeBuf.com的证书来伪造facebook.com的。

来自Yelp的Ivan Leichtling报告称,漏洞估计能够影响25,000个iOS应用。

2.5.2版没能修复漏洞

AFNetworking在其最新发行的2.5.3版本中修复了这个漏洞。而在其上一个版本(2.5.2)中,AFNetworking修复了另一个SSL相关的漏洞,却没有修复这个。

之前大家以为AFNetworking 2.5.2解决了SSL证书验证的问题,那个问题是:攻击者可以使用自签名的证书截听iOS应用于服务器之间的加密的敏感数据。

因此,任何有条件进行中间人攻击的人,比如在不安全的Wifi网络中的黑客,VPN网络中的坏职工或者国家支持的黑客,只要使用证书管理机构(CA)颁发的证书,就可以监控或者修改通信。

大量知名APP中枪

安全公司SourceDNA快速扫描iOS市场中存在漏洞的iOS应用,发现了包括美国银行、美国富国银行、摩根大通等APP都可能受到影响,而来自顶尖开发者诸如雅虎和微软的iOS应用也存在这个漏洞。

FreeBuf测试了几款国内金融类APP,发现银联、中国银行、交通银行的APP纷纷中招。

安全建议

为了防止黑客利用漏洞,SourceDNA没有公开存在漏洞的iOS应用。安全研究人员建议开发者将最新版本(2.5.3)的AFNetworking整合到应用中去,这个版本默认开启了域名验证功能。(在之前的版本中实际上是有域名验证功能的,但是要开启validatesDomainName属性,而它默认是关闭的)

安全研究人员还建议用户立即检查他们所使用应用的状态,特别是那些使用银行帐号信息等敏感信息的应用。

在线检测

这一款免费的检测工具,帮助开发者和用户们检查应用是否存在漏洞,点我立即测试

*参考来源THN,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

2015.4.27更新:阿里巴巴APP不受影响

安全公司SourceDNA提及“Alibaba.com”移动应用存在SSL漏洞。

阿里巴巴移动安全团队进行了风险确认后与FreeBuf取得联系:“Alibaba.com” 移动应用早已使用了自有证书强校验措施,因此不会受到本次爆出问题的SDK以及其他第三方SDK影响,没有用户信息泄漏风险。

对于“Alibaba.com”移动应用 (阿里巴巴海外B2B业务),目前App Store上的阿里巴巴海外B2B应用,即如图2所示应用,self.SSLPinningMode的值设置AFSSLPinningModeCertificate,如果要攻击该应用,需要向每个用户手机手动安装一张攻击者证书,而如果想为每个手机静默安装一张攻击者证书而不让用户发现,这在实际场景中几乎无法实现,属于低危漏洞,广大用户无需过多担心。

这些评论亮了

  • 熊猫阿B0 回复
    噫!人家几千万几亿做出来的东西……
    )9( 亮了
发表评论

已有 20 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php