安全分析公司在流行的開源網絡庫中確定了一個錯誤,該庫可能會在iOS App Store上可能會在容易出現惡意攻擊的iOS App Store上留下1,500個應用程序。上個月確定的有關該錯誤的報告聲稱,使用特定版本的非常受歡迎的afnetworking庫的應用程序可能會通過公開敏感數據(例如密碼,銀行帳戶信息)來使用戶處於危險之中,並將其提供給這些數據熟練利用脆弱性。
這種情況的光明是,包含有關漏洞的開源代碼已被項目背後的開發人員立即確定,這表明任何包含本庫的應用程序提交都必須安全使用。並非那麼明亮的一面是,應用商店上約有1,500個應用程序仍在使用該項目的俯臥版本。這是由於受影響應用程序的開發人員尚未導入當前固定版本的afnetworking和重新提交作為更新。
毫無疑問,AFNETWORKING是試圖找到通用的網絡網絡選項的開發人員中最受歡迎的開源選項之一。該項目本身已經存在了多年,被描述為“一個開源代碼庫,允許開發人員將網絡功能放入其應用程序中”,受影響的版本將於今年1月進行。那些具有有問題的庫版本的應用程序將容易出現中間人的攻擊,這些攻擊本質上允許惡意個人攔截和訪問HTTPS協議加密的數據。
得益於居住在網絡上的一個不錯的小工具,可以搜索受影響的應用程序,以查看您是否在iOS設備上安裝了任何東西。 Sourcedna的iOS安全報告查找工具允許個人搜索開發人員的姓名,並弄清楚其任何應用程序是否使用afnetworking,以及安裝了庫的這些應用程序是否實際使用易於使用的版本。您可以通過:searchlight.sourcedna.com/lookup訪問該工具
(通過:Arstechnica)
您可以在Twitter上關注我們,將我們添加到Google+上的您的圈子中,或者喜歡我們的Facebook頁面,以使自己了解Microsoft,Google,Apple和Web的所有電流。