HTTPS漏洞导致1500项iOS应用存在安全隐患？

分析服务公司SourceDNA周一发布了一份报告，称大约1500个iOS应用程序存在“HTTPS瘫痪”漏洞。此漏洞允许黑客拦截用户的加密信息，如密码、银行账户或其他高度敏感的信息。SourceDNA优艾设计网_平面设计估计，目前已有超过200万用户安装了这些存在潜在安全风险的应用，如Citrix Open Voice音频会议、阿里巴巴(Alibaba.com)移动应用、KYBankAgent 3.0和Revo餐厅销售点等。

该缺陷存在于早期版本的AFNetworking中。AFNetworking是一个开源的网络开发框架，允许开发人员将网络功能添加到自己的应用程序中。尽管最新的2.5.2版本在三周前修复了该漏洞，但仍有至少1500个iOS应用程序使用2.5.1版本，存在隐患。

要利用这个漏洞发起攻击，黑客只需要利用网吧或其他地方的WiFi网络监控易受攻击的iOS设备，然后使用伪造的Secure Sockets Layer证书发起攻击。一般情况下，这张假证件会被立即发现。但由于2.5.1版代码的逻辑错误，不会对假证书进行验证，因此被视为合法证书。

最初，SourceDNA没有公布这些受影响的应用程序的名称，因此开发人员有时间进行升级。如今，SourceDNA提供了一个搜索工具，允许iOS用户根据开发者的名字进行搜索。

上个月，苹果修复了影响iOS的FREAK安全漏洞。这个漏洞是上世纪90年代美国一项法律的历史遗留，当时的法律限制了RSA加密密钥的导出，至今仍被很多浏览器支持。