代碼審計(jì)發(fā)現(xiàn)超過(guò)25000脆弱的應(yīng)用程序在iTunes Bug SSL庫(kù)使竊聽(tīng)容易.灰鴿子下載

admin

代碼審計(jì)發(fā)現(xiàn)超過(guò)25000脆弱的應(yīng)用程序在iTunes Bug SSL庫(kù)使竊聽(tīng)容易.灰鴿子下載
交通的嚴(yán)重缺陷的加密和會(huì)話驗(yàn)證組件所使用的開(kāi)源框架的iTunes出售的許多iOS開(kāi)發(fā)人員為他們的應(yīng)用程序可能會(huì)讓成千上萬(wàn)的用戶的流量竊聽(tīng)。
SourceDNA發(fā)現(xiàn)AFNetworking框架為蘋果iOS和OS X操作系統(tǒng)不默認(rèn)檢查域名TLS / SSL(傳輸層安全性/安全套接字層)在之前版本2.5.2和會(huì)話。
所有攻擊者利用缺陷,需要做SourceDNA說(shuō),是獲得一個(gè)便宜的,合法的SSL證書(shū)為web服務(wù)器攔截用戶通信會(huì)話,似乎是安全的,通過(guò)假裝任何域的名稱是無(wú)效的。
目前,超過(guò)25000應(yīng)用在蘋果iTunes商店使用AFNetworking脆弱的版本。
使用證書(shū)寄——技術(shù),告訴瀏覽器只接受特定證書(shū)——將使域驗(yàn)證。然而,SourceDNA指出,一些iOS開(kāi)發(fā)者打開(kāi)證書(shū)寄,建議技術(shù)更頻繁地用于額外的安全。
SourceDNA早前通過(guò)一個(gè)代碼審計(jì)發(fā)現(xiàn)AFNetworking會(huì)接受簽名SSL證書(shū),這意味著任何人都可以創(chuàng)建這些和現(xiàn)在是合法用戶,一個(gè)場(chǎng)景SourceDNA稱為“游戲結(jié)束”,因?yàn)樗�可能�?dǎo)致廣泛的SSL安全的破壞，灰鴿子遠(yuǎn)程控制軟件，遠(yuǎn)程控制軟件。
2.5.3 AFNetworking包含版本的bug修復(fù)缺乏SSL證書(shū)域名驗(yàn)證。
安全廠商鼓勵(lì)開(kāi)發(fā)人員跟蹤他們的源代碼,以確保組件使用最新的安全補(bǔ)丁

x1135058151

灰鴿子使用教程.灰鴿子教程.