在经过对iOS App Store中的二进制代码进行扫描之后,Will Strafach的verify.ly服务检测到商店中有76款人气应用面临着数据受拦截的风险。不管App Store的开发者是否启用App Transport Security安全功能,这种数据拦截都有可能会发生。几个月之前,Experian和myFICO Mobile公司的iOS应用中也发现了同样的漏洞。
Strafach的verify.ly服务专用于扫描iOS App Store中的应用,查找漏洞,给开发者提供帮助,让他们知道应该如何强化自己的代码,保证其安全。该服务的扫描主要是为了发现漏洞的模式,更可怕的是有时候会发现这些漏洞不断地出现在各种应用之中。而这次的发现之所以这么令人担忧,不仅仅是因为发现的都是常用的应用,更因为这些应用已经被累计下载了1800万次,也就意味着目前有这么多用户都面临着风险。
根据Strafach的介绍,在一定的Wi-Fi范围之内,如果用户的设备当前正在使用,那么这种类型的攻击就有可能会发生。它完全有可能发生在公共场所,甚至有可能在你的家里,只要攻击者和你的距离足够近。攻击者可以使用定制硬件或者是一个稍微经过修改的移动电话即可发起攻击,需要的设备取决于范围以及功能。如果要举一个例子来说明这种攻击的话,那就是攻击者能够近距离读取你的信用卡数据。
受影响应用名单
Strafach在报告中已经将这些应用按照低风险和中高风险分类。其中低风险应用有33款:
ooVoo、VivaVideo、Snap Upload for Snapchat、Uconnect Access、Volify