先前曾發生iOS SSL加密驗證形同虛設情形,研究單位進一步指出目前在蘋果App Store上超過1500組App面臨資料加密漏洞風險,可能將讓使用者資訊可能因此遭受攔截、竊取等風險。另一方面,相關單位也指出蘋果日前針對OS X 10.10 Yosemite釋出的嚴重漏洞修正更新,實際上並未完全將漏洞填補,造成有心人士依然可透過漏洞發動攻擊。
根據研究單位SourceDNA指出,目前在蘋果App Store上架的App內容,有不少設計使用以開放架構設計的第三方套件AFNetworking,因此可能有超過1500組App內容可能在SSL、HTTPS連線加密將出現漏洞,可能造成使用者使用此類App服務時,可能面臨個資遭竊、攔截金融卡資料的情況。而此一現象多半發生在採免費下載的熱門App內容,包含eBay、亞馬遜等App服務內容仍有高度安全加密保護。
而另一方面,Objective See也指出蘋果雖然在日前釋出OS X 10.10 Yosemite安全更新,但實際上並未完整填補所有漏洞,一組名為「RootPipe」的惡意程式依然可透過漏洞取得存取權限,進而讓有心人士取得系統控制權,藉此攔截諸如金融卡或個資等訊息,甚至作為攻擊他人的跳板。
在此之前,蘋果也曾在iOS及OS X作業系統更新中,讓SSL加密驗證形同虛設,導致使用者在以為加密機制正常作動情況下,可能讓個人資訊嚴重外洩。而蘋果也在確認相關情況後釋出修正,預期此次漏洞問題也會在短時間內進行修復。
[vimeo 125345793 w=800 h=450]
※相關連結》
