軟件開發(fā)公司的iOS黑客有軍隊(duì)中的一句老話：“將軍們總是過去的戰(zhàn)爭，特別是如果他們已經(jīng)贏得了它。“很簡單，這意味著在準(zhǔn)備下一種威脅，我們應(yīng)該抵制太密切在過去的戰(zhàn)爭中戰(zhàn)斗在不同時(shí)期有不同的技術(shù)和環(huán)境。盡管法國被侵占馬其諾防線–完美防御進(jìn)一步侵略戰(zhàn)德國，但幾乎無用的反對(duì)二戰(zhàn)德國閃電戰(zhàn)。

 

所以它是應(yīng)用程序的安全性。在網(wǎng)絡(luò)時(shí)代的早期，仍有很強(qiáng)的經(jīng)典桌面漏洞如棧溢出和緩沖區(qū)溢出的恐懼。現(xiàn)在，我們?cè)谝苿?dòng)應(yīng)用的時(shí)代，世界的安全仍然停留在網(wǎng)絡(luò)安全領(lǐng)域。盡管事實(shí)上，它已經(jīng)超過兩年以來的OWASP組發(fā)布10大漏洞移動(dòng)一些開發(fā)商認(rèn)為，移動(dòng)安全測試他們的應(yīng)用程序。

 

上周，研究人員發(fā)現(xiàn)尚未對(duì)iOS應(yīng)用的另一個(gè)漏洞類型。通過一個(gè)中間人的方法，攻擊者可以欺騙一個(gè)iOS應(yīng)用程序和API對(duì)惡意URL的Web通信，不是一次而是永遠(yuǎn)的事實(shí)。Ars Technica有攻擊的細(xì)節(jié)，由安全組Skycure發(fā)現(xiàn)，但總結(jié)很簡單。

 

事實(shí)證明，許多iOS應(yīng)用沒有強(qiáng)有力的保護(hù)免受惡意301重定向?yàn)锳PI調(diào)用。301重定向是一個(gè)基本的網(wǎng)絡(luò)命令，說，“這東西不在了。它在那兒吧。”網(wǎng)絡(luò)的主人使用它時(shí)，將內(nèi)容從一個(gè)地方到另一個(gè)環(huán)節(jié)的工作順利，即使內(nèi)容的地址變了。但如果我能影響你的應(yīng)用程序的通信，并說“你的API是真的在我的惡意服務(wù)器，然后我在理論上可以攔截或修改所使用的應(yīng)用程序的內(nèi)容。因?yàn)?01碼信號(hào)的一個(gè)永久重定向，您的應(yīng)用程序?qū)⒗^續(xù)我已不再直接干預(yù)經(jīng)過長時(shí)間的使用我的惡意服務(wù)器。

 

解決這個(gè)問題很簡單。確保你的應(yīng)用程序使用SSL通信的明文代替。認(rèn)為在這個(gè)時(shí)代，任何人都會(huì)使用加密API很奇怪，但這是很好的理由。通過將加密你的API的流量額外的步驟，你還要確保你的用戶只能看到正確的內(nèi)容并沒有什么惡意或虛假。SSL證書是比較便宜的成本，軟件開發(fā)公司的應(yīng)用程序因?yàn)榘踩珕栴}失去信譽(yù)。