日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

兩個移動設備安全專家最近發(fā)現(xiàn)了一個簡單的編碼漏洞，它普遍存在于蘋果iOS平臺上的應用程序中。如果被肆意地利用，攻擊者可以借由這個漏洞將用戶應用程序永久重定向到惡意服務器上，而不是由應用程序開發(fā)者提供的合法服務器。

創(chuàng)新互聯(lián)從2013年開始，先為遂溪等服務建站，遂溪等地企業(yè)，進行企業(yè)商務咨詢服務。為遂溪企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

在荷蘭阿姆斯特丹舉辦的2013 RSA歐洲會議上，以色列的移動安全廠商Skycure CEO Adi Sharabani和首席技術官兼聯(lián)合創(chuàng)始人 Yair Amit 提供了關于iOS應用程序漏洞的詳細資料，該漏洞源于一個常用的URL緩存方法。根據(jù)Amit所說，這個問題在iOS應用程序中非常普遍，以致于不能采取傳統(tǒng)的路線來私下告知供應商這個漏洞。相反，他們希望供應商可以通過RSA歐洲會議意識到這個問題，然后迅速采取行動，實施他們所提供的編碼來解決緩存錯誤。

這個漏洞被稱為HTTP請求劫持，首先需要一個中間人攻擊場景，在這個場景中，黑客在公共設置中建立一個Wi-Fi網(wǎng)絡，然后捕捉信息，攻擊不知情的受害者。當一個移動應用程序企圖從一個服務器請求信息時，攻擊者攔截通信，可以簡單的發(fā)送一個301“永久移除”HTTP響應狀態(tài)代碼給應用程序，這樣攻擊者就可以更換掉供應商的服務器，用自己的服務器作為應用程序的通信樞紐。

Amit說，這種編碼錯誤在移動應用程序上尤為嚴重，因為它們永久緩存301響應，不管受害者是否依然連接在相同的Wi-Fi網(wǎng)絡上。Web瀏覽器在地址欄顯示被訪問的URL，而移動應用程序卻通常不顯示它們檢索信息的服務器，這樣受害者就沒有線索知道他們是否正在觀看合法內容。盡管用戶可以卸載一個應用程序，不過Amid說攻擊者可以通過這個簡單的漏洞無限期地控制一個應用程序。

至于攻擊者為什么會選擇這種攻擊途徑，Amit舉出了敘利亞電子軍隊黑客攻擊美聯(lián)社的Twitter賬號并發(fā)出Twitter，導致美國股市暫時暴跌的例子。當攻擊被發(fā)現(xiàn)的時候，市場顯然就開始糾正過來。但是發(fā)現(xiàn)很快的原因之一是因為這個特殊攻擊的賬號是美聯(lián)社的賬號，該公司幾乎是馬上意識到這個問題。Amit指出，新發(fā)現(xiàn)的漏洞可以針對華爾街特定的交易商，例如，由于貿易商的應用程序一被攻擊就可能會看到虛假的內容，很難被發(fā)現(xiàn)。

Amit認為，“我們非常依賴我們的iPhone，我們依賴手機里的應用程序并且認為它們是可靠的。這篇文章使我們想到：早上讀新聞時，你是閱讀到了真正的新聞還是只是攻擊者發(fā)給你的虛假信息呢?”

雖然以色列的研究人員證實這個問題只是出現(xiàn)在iOS平臺上的應用程序中，但是Amit指出在某些特定的Android應用程序中同樣存在相似的問題。Amit說，無論如何，還是人們對于移動應用程序太有信心。蘋果和谷歌已經(jīng)部署了各自的應用程序商店，Amit認為從安全角度來說這個方法是有效的，只是許多用戶不重視會發(fā)生在任意應用程序中的編碼問題。

Amit說：“十年前，大家都認為Web應用程序漏洞并不緊要，但是今天，我們都知道保護Web應用程序非常重要，利用Web應用程序的漏洞又很簡單。我預見移動設備的應用程序代碼會發(fā)生問題，而且趨勢已經(jīng)越來越明顯。我認為蘋果和谷歌已經(jīng)做得很棒，但是同樣這也是必然的。編碼問題總是在發(fā)生，而且他們都有安全隱患。”

名稱欄目：專家揭露iOS應用程序漏洞并描述了問題的廣泛性
分享URL：http://m.5511xx.com/article/djeijgh.html