您的位置:首页iOS资讯IOS新闻 → ios8.2安全吗?ios8.2密码安全漏洞

ios8.2安全吗?ios8.2密码安全漏洞

时间:2015/3/25 18:01:17来源:www.pc6.com作者:Nothing我要评论(0)

  ios8.2安全吗?最近网上爆出了一个关于iOS的系统漏洞,该漏洞可导致非越狱iOS设备的账号、密码等敏感信息被黑客所窃取,而且在目前最新的iOS8.2版本中,该漏洞仍未被修复。由于该漏洞是系统漏洞,因此影响所有iOS应用,其中包括支付宝等支付软件。对此,腾讯手机管家安全专家表示,该漏洞其实并非目前网传的那么神秘,这个关于iOS中URLScheme的漏洞,其实很多业内人士和技术开发人员都早已知晓,但是由于产品的很多功能都要用到URLScheme,因此很多人为了产品功能而不得不选择继续使用URLScheme。

  手机安全专家分析漏洞原理

  据手机安全专家表示,这一漏洞利用了URLScheme。相信URL Scheme 对于Launch Center Pro 、Workflow等 App 的用户都不会陌生。在iOS 中,一个应用可以将其自身绑定到一个自定义 URL Scheme 上,该URL Scheme 用于从浏览器或其他应用中启动该应用。

  以使用美团+支付宝完成团购为例:用户通过美团App选择需要团购的内容,在进行支付时可以选择支付宝完成支付。在正常的情况下,美团调用正常的URL Scheme 启动支付宝,在支付宝中完成密码的输入后,由支付宝提交给服务器端进行验证。验证通过后,服务器返回正确信息,支付宝 App 再调用 URL Scheme 返回给美团 App,表明支付成功,团购过程完成。整个流程示意图如下:

  而iOS系统允许多个App 声明同一个 URL Scheme,却没有响应的权限管理、校验等机制进行保证。漏洞作者经过测试发现,对于若干第三方 App 注册同一个 URL Scheme,顺序和 Bundle ID 有关。因此,如果能找到合适的 Bundle ID,使得调用时恶意应用先于支付宝被调用,则漏洞利用成功,恶意应用可以获得用户的账户和密码信息。此时黑客可以利用获得的用户信息正常完成支付过程。流程示意图如下:

  防范漏洞有方法

  对于该漏洞,专业人士表示,苹果可以通过限制BundleID的滥用来保证 URL Scheme 的安全。对于而第三方软件而言,则需要通过增加安全检测,例如检测 URL Scheme 是否被劫持、获得 URL Scheme 的处理顺序等等来防止自身的URL Scheme 被劫持。

  另外,腾讯手机管家安全专家建议广大用户,在苹果官方未修复此漏洞之前,尽量做到以下几点:

  首先,不要安装来历不明的软件,特别是企业证书类软件。

  其次,养成良好的下载APP的习惯,选择知名度较高的APP,无论越狱与否尽可能都在AppStore下载。

  最后,越狱状态下,尽可能安装手机安全软件,例如腾讯手机管家pro版,对手机进行定时查杀病毒,修复漏洞。

装机必备更多

相关阅读 ios8.2刷机教程ios8.2和8.1.3哪个好 ios8.2和8.1.3对iOS8.2降级8.1.3有戏_IOS8.2降级8.1.3IOS8.2怎么样?iOS8.2要不要更新?iOS8.2什么时候更新 iOS8.2更新时间曝微信6.1.2更新 微信返回键失灵问题解决

文章评论
发表评论

iOS游戏排行榜 开心消消乐iPad版世界OL iPad版COK列王的纷争ipad版V3.35.0钢铁力量iPad版魔灵召唤iPad版全民突击iPad版

本类文章排行 iphone7什么时候上市?iphone7大概多少钱?Apple ID已锁定怎么办?苹果手机Apple ID已锁新用户入手iPhone6s后必须学会的10件事iOS9.2.1怎么样?iOS9.2.1升级后卡不卡?iOS9.0新功能 iOS 9.0最新消息Live Photos是什么?Live Photos功能怎么用?ipad pro分屏功能怎么用?ipad pro使用技巧iOS9.3.1能越狱吗 iOS9.3.1怎么越狱

最新资讯更多 iOS16如何删除预装应用苹果WWDC 2022发布会内 iOS16如何删除预装应用? iOS16可支持删除预苹果WWDC 2022发布会内容汇总 苹果WWDC 202iOS 15.5偷跑流量如何解决?苹果官方反馈问iOS16有什么新功能 苹果iOS16新功能介绍大

使用教程更多 Apple Music怎么打开无iOS 15怎么降级 iOS 1iOS 15怎么升级 iOS 1ios14.5隐私跟踪打不开

游戏攻略更多 QQ飞车魔法奇妙夜怎么宝可梦探险寻宝大岩蛇