ios8.2安全嗎?最近網上爆出了一個關於iOS的系統漏洞,該漏洞可導致非越獄iOS設備的賬號、密碼等敏感信息被黑客所竊取,而且在目前最新的iOS8.2版本中,該漏洞仍未被修復。由於該漏洞是系統漏洞,因此影響所有iOS應用,其中包括支付寶等支付軟件。對此,騰訊手機管家安全專家表示,該漏洞其實並非目前網傳的那麼神秘,這個關於iOS中URLScheme的漏洞,其實很多業內人士和技術開發人員都早已知曉,但是由於產品的很多功能都要用到URLScheme,因此很多人為了產品功能而不得不選擇繼續使用URLScheme。
名稱:
ios8.2 beta4下載地址:蘋果ios8.2 beta4固件網盤下載
鏈接:
http://www.arpun.com/article/12857.html
手機安全專家分析漏洞原理 據手機安全專家表示,這一漏洞利用了URLScheme。相信URL Scheme 對於Launch Center Pro 、Workflow等 App 的用戶都不會陌生。在iOS 中,一個應用可以將其自身綁定到一個自定義 URL Scheme 上,該URL Scheme 用於從浏覽器或其他應用中啟動該應用。 以使用美團+支付寶完成團購為例:用戶通過美團App選擇需要團購的內容,在進行支付時可以選擇支付寶完成支付。在正常的情況下,美團調用正常的URL Scheme 啟動支付寶,在支付寶中完成密碼的輸入後,由支付寶提交給服務器端進行驗證。驗證通過後,服務器返回正確信息,支付寶 App 再調用 URL Scheme 返回給美團 App,表明支付成功,團購過程完成。整個流程示意圖如下:
而iOS系統允許多個App 聲明同一個 URL Scheme,卻沒有響應的權限管理、校驗等機制進行保證。漏洞作者經過測試發現,對於若干第三方 App 注冊同一個 URL Scheme,順序和 Bundle ID 有關。因此,如果能找到合適的 Bundle ID,使得調用時惡意應用先於支付寶被調用,則漏洞利用成功,惡意應用可以獲得用戶的賬戶和密碼信息。此時黑客可以利用獲得的用戶信息正常完成支付過程。流程示意圖如下:
防范漏洞有方法 對於該漏洞,專業人士表示,蘋果可以通過限制BundleID的濫用來保證 URL Scheme 的安全。對於而第三方軟件而言,則需要通過增加安全檢測,例如檢測 URL Scheme 是否被劫持、獲得 URL Scheme 的處理順序等等來防止自身的URL Scheme 被劫持。 另外,騰訊手機管家安全專家建議廣大用戶,在蘋果官方未修復此漏洞之前,盡量做到以下幾點: 首先,不要安裝來歷不明的軟件,特別是企業證書類軟件。 其次,養成良好的下載APP的習慣,選擇知名度較高的APP,無論越獄與否盡可能都在AppStore下載。 最後,越獄狀態下,盡可能安裝手機安全軟件,例如騰訊手機管家pro版,對手機進行定時查殺病毒,修復漏洞。