日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
專家揭露iOS應(yīng)用程序漏洞并描述了問題的廣泛性

兩個(gè)移動(dòng)設(shè)備安全專家最近發(fā)現(xiàn)了一個(gè)簡單的編碼漏洞,它普遍存在于蘋果iOS平臺(tái)上的應(yīng)用程序中。如果被肆意地利用,攻擊者可以借由這個(gè)漏洞將用戶應(yīng)用程序永久重定向到惡意服務(wù)器上,而不是由應(yīng)用程序開發(fā)者提供的合法服務(wù)器。

創(chuàng)新互聯(lián)從2013年開始,先為遂溪等服務(wù)建站,遂溪等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為遂溪企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

在荷蘭阿姆斯特丹舉辦的2013 RSA歐洲會(huì)議上,以色列的移動(dòng)安全廠商Skycure CEO Adi Sharabani和首席技術(shù)官兼聯(lián)合創(chuàng)始人 Yair Amit 提供了關(guān)于iOS應(yīng)用程序漏洞的詳細(xì)資料,該漏洞源于一個(gè)常用的URL緩存方法。根據(jù)Amit所說,這個(gè)問題在iOS應(yīng)用程序中非常普遍,以致于不能采取傳統(tǒng)的路線來私下告知供應(yīng)商這個(gè)漏洞。相反,他們希望供應(yīng)商可以通過RSA歐洲會(huì)議意識(shí)到這個(gè)問題,然后迅速采取行動(dòng),實(shí)施他們所提供的編碼來解決緩存錯(cuò)誤。

這個(gè)漏洞被稱為HTTP請(qǐng)求劫持,首先需要一個(gè)中間人攻擊場景,在這個(gè)場景中,黑客在公共設(shè)置中建立一個(gè)Wi-Fi網(wǎng)絡(luò),然后捕捉信息,攻擊不知情的受害者。當(dāng)一個(gè)移動(dòng)應(yīng)用程序企圖從一個(gè)服務(wù)器請(qǐng)求信息時(shí),攻擊者攔截通信,可以簡單的發(fā)送一個(gè)301“永久移除”HTTP響應(yīng)狀態(tài)代碼給應(yīng)用程序,這樣攻擊者就可以更換掉供應(yīng)商的服務(wù)器,用自己的服務(wù)器作為應(yīng)用程序的通信樞紐。

Amit說,這種編碼錯(cuò)誤在移動(dòng)應(yīng)用程序上尤為嚴(yán)重,因?yàn)樗鼈冇谰镁彺?01響應(yīng),不管受害者是否依然連接在相同的Wi-Fi網(wǎng)絡(luò)上。Web瀏覽器在地址欄顯示被訪問的URL,而移動(dòng)應(yīng)用程序卻通常不顯示它們檢索信息的服務(wù)器,這樣受害者就沒有線索知道他們是否正在觀看合法內(nèi)容。盡管用戶可以卸載一個(gè)應(yīng)用程序,不過Amid說攻擊者可以通過這個(gè)簡單的漏洞無限期地控制一個(gè)應(yīng)用程序。

至于攻擊者為什么會(huì)選擇這種攻擊途徑,Amit舉出了敘利亞電子軍隊(duì)黑客攻擊美聯(lián)社的Twitter賬號(hào)并發(fā)出Twitter,導(dǎo)致美國股市暫時(shí)暴跌的例子。當(dāng)攻擊被發(fā)現(xiàn)的時(shí)候,市場顯然就開始糾正過來。但是發(fā)現(xiàn)很快的原因之一是因?yàn)檫@個(gè)特殊攻擊的賬號(hào)是美聯(lián)社的賬號(hào),該公司幾乎是馬上意識(shí)到這個(gè)問題。Amit指出,新發(fā)現(xiàn)的漏洞可以針對(duì)華爾街特定的交易商,例如,由于貿(mào)易商的應(yīng)用程序一被攻擊就可能會(huì)看到虛假的內(nèi)容,很難被發(fā)現(xiàn)。

Amit認(rèn)為,“我們非常依賴我們的iPhone,我們依賴手機(jī)里的應(yīng)用程序并且認(rèn)為它們是可靠的。這篇文章使我們想到:早上讀新聞時(shí),你是閱讀到了真正的新聞還是只是攻擊者發(fā)給你的虛假信息呢?”

雖然以色列的研究人員證實(shí)這個(gè)問題只是出現(xiàn)在iOS平臺(tái)上的應(yīng)用程序中,但是Amit指出在某些特定的Android應(yīng)用程序中同樣存在相似的問題。Amit說,無論如何,還是人們對(duì)于移動(dòng)應(yīng)用程序太有信心。蘋果和谷歌已經(jīng)部署了各自的應(yīng)用程序商店,Amit認(rèn)為從安全角度來說這個(gè)方法是有效的,只是許多用戶不重視會(huì)發(fā)生在任意應(yīng)用程序中的編碼問題。

Amit說:“十年前,大家都認(rèn)為Web應(yīng)用程序漏洞并不緊要,但是今天,我們都知道保護(hù)Web應(yīng)用程序非常重要,利用Web應(yīng)用程序的漏洞又很簡單。我預(yù)見移動(dòng)設(shè)備的應(yīng)用程序代碼會(huì)發(fā)生問題,而且趨勢(shì)已經(jīng)越來越明顯。我認(rèn)為蘋果和谷歌已經(jīng)做得很棒,但是同樣這也是必然的。編碼問題總是在發(fā)生,而且他們都有安全隱患?!?/p>
網(wǎng)頁名稱:專家揭露iOS應(yīng)用程序漏洞并描述了問題的廣泛性
網(wǎng)站地址:http://www.dlmjj.cn/article/djeijgh.html