Apple也许认为为安全证书漏洞发布一个安全补丁只是一件小事,但是安全软件却不这样认为。由于一款公之于众的应用也同步升级后,这个漏洞更容易被利用,能轻松截获iOS设备传输的数据流。这款软件是SSLSniff,于周一也同步升级,现在已能拦截未打安全补丁的iOS设备通信数据。
Sophos的Chester Wisniewski在周二的博客中称这个补丁是“绝对必需”的。任何一个使用iOS设备哪怕只是打电话也要应用这个补丁。这个安全漏洞在各个版本中均存在,iGSM设备使用的iOS 4.3.4,CDMA设备使用的4.2.9以及更老的设备,iOS5所有测试版均存在这一漏洞。
iOS安全证书系统存在缺陷,这导致了一个安全漏洞。本来,它只是允许从证书颁发机构购买的有效证书可以签证其他任何证书。但是iOS却错误地认为证书是有效的,这就意味着一个攻击者可以愚弄一台设备从而允许他或她来进行一个有效的网络连接。
Wisniewski在博客中写道,“这就允许任何人可以使用第三方技术截取来自你的iPhone、iPad或者iPod Touch的信息流,并且可以秘密读取所有加密的SSl信息,而用户完全不知情。”
对于那些经常使用公共Wi-Fi热点的人来说,这个是黑客最容易窃取未打补丁的iOS设备信息的地方。如果你有第一代iPhone或者iPhone 3G或者一代、二代的iPod touch,这个安全问题在苹果尚未提供设备升级的情况下暂时无法修复。
这也意味着一旦这些设备在使用,那么黑客就有机会窃取别人的数据。Recurity实验室的安全专家已经建立了一个网站用户可以使用他们的设备来随时查看他的设备是否有这个漏洞。
|