代碼審計(jì)發(fā)現(xiàn)超過25000脆弱的應(yīng)用程序在iTunes Bug SSL庫使竊聽容易.灰鴿子下載

admin

代碼審計(jì)發(fā)現(xiàn)超過25000脆弱的應(yīng)用程序在iTunes Bug SSL庫使竊聽容易.灰鴿子下載
交通的嚴(yán)重缺陷的加密和會話驗(yàn)證組件所使用的開源框架的iTunes出售的許多iOS開發(fā)人員為他們的應(yīng)用程序可能會讓成千上萬的用戶的流量竊聽。
SourceDNA發(fā)現(xiàn)AFNetworking框架為蘋果iOS和OS X操作系統(tǒng)不默認(rèn)檢查域名TLS / SSL(傳輸層安全性/安全套接字層)在之前版本2.5.2和會話。
所有攻擊者利用缺陷,需要做SourceDNA說,是獲得一個便宜的,合法的SSL證書為web服務(wù)器攔截用戶通信會話,似乎是安全的,通過假裝任何域的名稱是無效的。
目前,超過25000應(yīng)用在蘋果iTunes商店使用AFNetworking脆弱的版本。
使用證書寄——技術(shù),告訴瀏覽器只接受特定證書——將使域驗(yàn)證。然而,SourceDNA指出,一些iOS開發(fā)者打開證書寄,建議技術(shù)更頻繁地用于額外的安全。
SourceDNA早前通過一個代碼審計(jì)發(fā)現(xiàn)AFNetworking會接受簽名SSL證書,這意味著任何人都可以創(chuàng)建這些和現(xiàn)在是合法用戶,一個場景SourceDNA稱為“游戲結(jié)束”,因?yàn)樗�可能�?dǎo)致廣泛的SSL安全的破壞，灰鴿子遠(yuǎn)程控制軟件，遠(yuǎn)程控制軟件。
2.5.3 AFNetworking包含版本的bug修復(fù)缺乏SSL證書域名驗(yàn)證。
安全廠商鼓勵開發(fā)人員跟蹤他們的源代碼,以確保組件使用最新的安全補(bǔ)丁

x1135058151

灰鴿子使用教程.灰鴿子教程.