Apple 的 iOS 作业系统因为属性封闭,向来给人相当安全的印象。不过这不代表 iOS 上的 App 完全不会被骇客入侵。国外资安研究专家发现,在 App Store 上共有 76 款应用程式存有漏洞,让骇客有机会透过这些应用程式来获取使用者手机内的资讯。
外媒 BGR 报导,资安专家 Will Strafach 透过 verify.ly 服务发现,App Store 上共有 76 款 App 可能会洩漏用户的个资,且这些应用程式都相当常见,总计已经被下载了 1800 万次。verify.ly 服务专门用来扫描 iOS 的应用程式并查找其漏洞,帮助开发者来增强 App 的安全防护。
2016 年 6 月份的 WWDC 开发者大会上,Apple 曾表示自 2017 年 1 月 1 日起,App Store 上所有的 App 都需要强制启用「应用程式安全传输」(App Transport Security, ATS)功能,并规定要透过加密后的 HTTPS 来传输,来确保用户隐私的安全。但在 2016 年 12 月,Apple 又表示将会延展日期,目前尚未宣布什麽时候将採用这一规范。
不过, Will Strafach 指出,上述的漏洞其实 Apple 的 ATS 功能也束手无策,也无法透过 Apple 推出一次性的更新来解决,需要每个开发者自行调整才有可能修补。
Will Strafach 将这 76 个受影响的应用程式分成三类,低风险的 App 共有 33 款,中等风险的共有 24 款,高风险的应用程式则有 19 款。低风险的应用程式漏洞可能会洩漏用户部分的敏感资料,如 email 地址与密码,中等风险的应用程式漏洞则可能洩漏用户的登入资料、高风险 App 的漏洞可能会洩漏用户的金融、医疗登入资料,严重性不可小觑。
低风险应用程式包括,ooVoo、Vivavideo、Mico — Chat, Meet New People、Uploader for Snapchat 、腾讯微云、途牛旅游等 33 款(详细名单请见此)。中高风险的应用程式目前尚未公布,Will Strafach 表示将会先将与受影响的银行、医疗单位以及开发者联络后才公布。
Will Strafach 也呼吁,使用者在网路上进行较敏感动作(例如网路转帐、查看户头等)时,最好不要使用 Wi-Fi 网路,而使用自己的行动数据,可以大大降低被骇的机会。
(LTN)
外媒 BGR 报导,资安专家 Will Strafach 透过 verify.ly 服务发现,App Store 上共有 76 款 App 可能会洩漏用户的个资,且这些应用程式都相当常见,总计已经被下载了 1800 万次。verify.ly 服务专门用来扫描 iOS 的应用程式并查找其漏洞,帮助开发者来增强 App 的安全防护。
2016 年 6 月份的 WWDC 开发者大会上,Apple 曾表示自 2017 年 1 月 1 日起,App Store 上所有的 App 都需要强制启用「应用程式安全传输」(App Transport Security, ATS)功能,并规定要透过加密后的 HTTPS 来传输,来确保用户隐私的安全。但在 2016 年 12 月,Apple 又表示将会延展日期,目前尚未宣布什麽时候将採用这一规范。
不过, Will Strafach 指出,上述的漏洞其实 Apple 的 ATS 功能也束手无策,也无法透过 Apple 推出一次性的更新来解决,需要每个开发者自行调整才有可能修补。
Will Strafach 将这 76 个受影响的应用程式分成三类,低风险的 App 共有 33 款,中等风险的共有 24 款,高风险的应用程式则有 19 款。低风险的应用程式漏洞可能会洩漏用户部分的敏感资料,如 email 地址与密码,中等风险的应用程式漏洞则可能洩漏用户的登入资料、高风险 App 的漏洞可能会洩漏用户的金融、医疗登入资料,严重性不可小觑。
低风险应用程式包括,ooVoo、Vivavideo、Mico — Chat, Meet New People、Uploader for Snapchat 、腾讯微云、途牛旅游等 33 款(详细名单请见此)。中高风险的应用程式目前尚未公布,Will Strafach 表示将会先将与受影响的银行、医疗单位以及开发者联络后才公布。
Will Strafach 也呼吁,使用者在网路上进行较敏感动作(例如网路转帐、查看户头等)时,最好不要使用 Wi-Fi 网路,而使用自己的行动数据,可以大大降低被骇的机会。
(LTN)