限时领|《AI 百问百答》专栏课+实体书(包邮)! 了解详情
写点什么

知名开源库 AFNetworking 曝 SSL 漏洞,2.5 万 iOS 应用受影响

  • 2015-05-06
  • 本文字数:967 字

    阅读完需:约 3 分钟

AFNetworking 是一个开源代码库,允许开发人员向 iOS 和 OS X 应用添加网络功能。2015 年 4 月 20 日,安全分析创业公司SourceDNA 曝光了AFNetworking 中一个影响了1500 多个iOS 应用的漏洞。不过很快, AFNetworking 2.5.2 就修复了该漏洞。然而三天之后,SourceDNA 又曝出了 AFNetworking 中一个更为严重的漏洞。该漏洞至少影响了苹果应用商店中 25000 个 iOS 应用。

据 Arstechnica报道,该漏洞是因为 AFNetworking 默认未检查证书中的域名与它所保护的 HTTPS 服务器的域名一致所导致的。攻击者使用任意合法的 SSL 证书搭配任意域名就可以利用该漏洞进行中间人攻击,即使这些数据是通过 SSL 协议传输。SourceDNA 公司创始人 Nate Lawson 告诉 Arstechnica:

如果一个应用使用了这个有缺陷的库,那么拥有任意合法证书的攻击者都可以窃取或修改由这个应用发起的会话。这个是因为,虽然证书经过验证,可以保证是由合法的证书颁发机构所颁发,但证书中的域名没有验证。比如,攻击者提供域名“sourcedna.com”的一个合法证书就可以伪装成“microsoft.com”。

SourceDNA 公司的 Ivan Leichtling 最早发现了该漏洞。但让他们觉得奇怪的是,AFNetworking 2.5.2 没有修复该 Bug,因为在 3 月底的时候,AFNetworking 维护者就号称已经通过更新代码修复了它。AFNetworking2.5.2 修复了攻击者可以使用自签名证书监听iOS 应用与其服务器之间加密通讯的问题,但没有认真校验可信签名证书是否是颁发给某个合法域名,从而导致了新的安全问题。目前任何使用 AFNetworking 2.5.3 以下版本的应用都可能将数据暴露给攻击者。SourceDNA 建议开发人员,如果使用了 AFNetworking,务必要升级到最新版本。并且还需启用公钥或者“证书锁定(certificate pinning)”。

SourceDNA 提供了一款免费在线检测工具,iOS 用户可以通过该服务检查他们使用的应用是否仍然处于易受攻击的状态。之所以没有提供一个易受攻击的应用的列表,是为了防止被攻击者滥用。但大量知名应用都面临这一漏洞的威胁,包括但不限于雅虎和微软的iOS 应用以及国内外众多金融类Apps,等。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群InfoQ 好读者)。

2015-05-06 07:272617
用户头像

发布了 1008 篇内容, 共 424.1 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

最终一致性正在成为主流:现代分布式应用的数据管理新范式

tapdata

数据一致性 数据同步 实时数据 最终一致性 强一致性

百度优选成全球首家支持MCP的电商平台

极客天地

用友BIP企业AI全栈云:沉浸式体验六大智慧采购新场景

用友BIP

面对开源大模型浪潮,基础模型公司如何持续盈利?

Baihai IDP

开源 AI 商业模式 基础模型 LLM

OneNote Embedded 文件滥用检测

天翼云开发者社区

Onenote

关于我的第一个产品!

Immerse

安徽建工集团上线数智管控平台 驱动高质量发展

用友BIP

我的内存去哪儿了?

TiDB 社区干货传送门

监控 TiKV 底层架构

PingCAP “一号员工”唐刘:回顾我与 TiDB 的十年成长之旅

TiDB 社区干货传送门

详解金仓数据库KFS双轨并行不停机方案

金仓技术

KingbaseES 金仓数据库 KFS KES

百度文库、百度网盘联合发布「GenFlow超能搭子」、「AI笔记」,打造“聪明又能干”的超级生产力

极客天地

APP和小程序需要注册域名吗?

国科云

什么是财务管理系统?一文看清其功能及作用!

积木链小链

数字化转型 智能制造

“陆海空”立体组网!福建移动助力鹭岛打造5G-A全面示范之城

极客天地

告别手动填参数!Apipost黑科技让接口调试效率翻倍

数据追梦人

倒计时!中关村科学城工业软件创新暨开源峰会28日启幕,会议亮点抢先看

极客天地

详解金仓数据库KingbaseES主备流复制集群数据块恢复神器auto_bmr

金仓技术

KingbaseES 金仓数据库

最火向量数据库Milvus安装使用一条龙!

王磊

告别重复繁琐!Apipost参数描述库让API开发效率飙升!

数据追梦人

【行业知识】绿色能源产业使用堡垒机的原因看这里!

行云管家

网络安全 等保 等保测评 等保评测

“AI赋能·共享城市安全”2025杭州安防产品展·浙江安博会

AIOTE智博会

深入研究:Shopee商品列表API接口详解

tbapi

shopee API shopee商品列表接口 shopee商品采集

RapidFS 为昆仑芯 3 万卡集群加速,国产化平台 TiB 级吞吐让数据随叫随到

Baidu AICLOUD

分布式缓存 JuiceFS #存储加速

【等保小知识】未联网的独立单位网络是否需要等保备案以及定级?

行云管家

等保 等保测评 等保2.0

伊克罗德信息亮相亚马逊云科技合作伙伴峰会,以ECRobot 智能云迁移助手在GenAI Tech Game比赛勇夺金牌!

伊克罗德信息科技

云计算 AI 亚马逊云

数智化转型进阶之路:从数据底座到业务增长,企业需要怎样的数据库支撑?

TiDB 社区干货传送门

数据库架构选型

TiDB 企业管理器:TEM v3.0.0 体验

TiDB 社区干货传送门

百度文库、百度网盘联合发布「沧舟OS」内容操作系统,开放MCP Server,华为、三星、牛听听成首批接入客户

极客天地

基于 MCP 的 AI Agent 应用开发实践

字节跳动开源

开源 AI Agent MCP 模型上下文协议 Agent TARS

对比2款国产远控软件,贝锐向日葵更优

科技热闻

五一假期放肆嗨,ROG电竞显示器高刷臻品畅玩游戏!

新消费日报

知名开源库AFNetworking曝SSL漏洞,2.5万iOS应用受影响_安全_谢丽_InfoQ精选文章