代碼審計發現超過25000脆弱的應用程序在iTunes Bug SSL庫使竊聽容易.灰鴿子下載

admin

代碼審計發現超過25000脆弱的應用程序在iTunes Bug SSL庫使竊聽容易.灰鴿子下載
交通的嚴重缺陷的加密和會話驗證組件所使用的開源框架的iTunes出售的許多iOS開發人員為他們的應用程序可能會讓成千上萬的用戶的流量竊聽。
SourceDNA發現AFNetworking框架為蘋果iOS和OS X操作系統不默認檢查域名TLS / SSL(傳輸層安全性/安全套接字層)在之前版本2.5.2和會話。
所有攻擊者利用缺陷,需要做SourceDNA說,是獲得一個便宜的,合法的SSL證書為web服務器攔截用戶通信會話,似乎是安全的,通過假裝任何域的名稱是無效的。
目前,超過25000應用在蘋果iTunes商店使用AFNetworking脆弱的版本。
使用證書寄——技術,告訴瀏覽器只接受特定證書——將使域驗證。然而,SourceDNA指出,一些iOS開發者打開證書寄,建議技術更頻繁地用于額外的安全。
SourceDNA早前通過一個代碼審計發現AFNetworking會接受簽名SSL證書,這意味著任何人都可以創建這些和現在是合法用戶,一個場景SourceDNA稱為“游戲結束”,因為它可能導致廣泛的SSL安全的破壞，灰鴿子遠程控制軟件，遠程控制軟件。
2.5.3 AFNetworking包含版本的bug修復缺乏SSL證書域名驗證。
安全廠商鼓勵開發人員跟蹤他們的源代碼,以確保組件使用最新的安全補丁

x1135058151

灰鴿子使用教程.灰鴿子教程.