專門追蹤及分析行動程式的SourceDNA表示,專為iOS與Mac OS X設計的AFNetworking開放源碼函式庫中有一重大漏洞,允許駭客繞過SSL取得使用者憑證與金融資料,雖然上個月底出爐的AFNetworking 2.5.2已修補該漏洞,但仍有約1000個iOS程式尚未修補。
根據Minded Security Research Labs的說明,於今年2月13日釋出的AFNetworking 2.5.1含有一個邏輯上的瑕疵,當行動程式要求AFNetworking檢查所要連結伺服器的SSL憑證時,會有中間人攻擊(man-in-the-middle,MiTM)漏洞,讓駭客有機會繞過SSL藉以竊取使用者的憑證或金融資料。AFNetworking已經於3月26日發表AFNetworking 2.5.2以修補該漏洞。
此一漏洞僅存在於AFNetworking 2.5.1,也僅影響該程式庫的SSL/TLS功能。
但SourceDNA掃描與分析iOS程式後發現,在140萬款的iOS程式中,有10萬款採用了AFNetworking,並有2萬款的更新或上架時間是在AFNetworking 2.5.1發佈後,顯示這些程式可能採用了有漏洞的AFNetworking版本。
進一步分析這2萬款的iOS程式,有55%是採用更舊但卻較安全的AFNetworking 2.5.0版本,有40%沒有使用該函式庫中含漏洞的SSL功能,僅有5%、約1000款程式真正含有該漏洞,而且當中不乏來自知名業者的程式,例如微軟、Yahoo、Uber與Citrix等。SourceDNA則說,他們很驚訝的是,一個出現才6周的開放源碼函式庫漏洞就能讓數百萬的使用者陷入被攻擊的風險。(編譯/陳曉莉)
熱門新聞
2024-11-12
2024-11-18
2024-11-15
2024-11-15
2024-11-18