ios8.2安全嗎?ios8.2密碼安全漏洞

ios8.2安全嗎?最近網(wǎng)上爆出了一個(gè)關(guān)于iOS的系統(tǒng)漏洞，該漏洞可導(dǎo)致非越獄iOS設(shè)備的賬號(hào)、密碼等敏感信息被黑客所竊取，而且在目前最新的iOS8.2版本中，該漏洞仍未被修復(fù)。由于該漏洞是系統(tǒng)漏洞，因此影響所有iOS應(yīng)用，其中包括支付寶等支付軟件。對(duì)此，騰訊手機(jī)管家安全專家表示，該漏洞其實(shí)并非目前網(wǎng)傳的那么神秘，這個(gè)關(guān)于iOS中URLScheme的漏洞，其實(shí)很多業(yè)內(nèi)人士和技術(shù)開發(fā)人員都早已知曉，但是由于產(chǎn)品的很多功能都要用到URLScheme，因此很多人為了產(chǎn)品功能而不得不選擇繼續(xù)使用URLScheme。

手機(jī)安全專家分析漏洞原理

據(jù)手機(jī)安全專家表示，這一漏洞利用了URLScheme。相信URL Scheme 對(duì)于Launch Center Pro 、Workflow等 App 的用戶都不會(huì)陌生。在iOS 中，一個(gè)應(yīng)用可以將其自身綁定到一個(gè)自定義 URL Scheme 上，該URL Scheme 用于從瀏覽器或其他應(yīng)用中啟動(dòng)該應(yīng)用。

以使用美團(tuán)+支付寶完成團(tuán)購為例：用戶通過美團(tuán)App選擇需要團(tuán)購的內(nèi)容，在進(jìn)行支付時(shí)可以選擇支付寶完成支付。在正常的情況下，美團(tuán)調(diào)用正常的URL Scheme 啟動(dòng)支付寶，在支付寶中完成密碼的輸入后，由支付寶提交給服務(wù)器端進(jìn)行驗(yàn)證。驗(yàn)證通過后，服務(wù)器返回正確信息，支付寶 App 再調(diào)用 URL Scheme 返回給美團(tuán) App，表明支付成功，團(tuán)購過程完成。整個(gè)流程示意圖如下：

而iOS系統(tǒng)允許多個(gè)App 聲明同一個(gè) URL Scheme，卻沒有響應(yīng)的權(quán)限管理、校驗(yàn)等機(jī)制進(jìn)行保證。漏洞作者經(jīng)過測試發(fā)現(xiàn)，對(duì)于若干第三方 App 注冊(cè)同一個(gè) URL Scheme，順序和 Bundle ID 有關(guān)。因此，如果能找到合適的 Bundle ID，使得調(diào)用時(shí)惡意應(yīng)用先于支付寶被調(diào)用，則漏洞利用成功，惡意應(yīng)用可以獲得用戶的賬戶和密碼信息。此時(shí)黑客可以利用獲得的用戶信息正常完成支付過程。流程示意圖如下：

防范漏洞有方法

對(duì)于該漏洞，專業(yè)人士表示，蘋果可以通過限制BundleID的濫用來保證 URL Scheme 的安全。對(duì)于而第三方軟件而言，則需要通過增加安全檢測，例如檢測 URL Scheme 是否被劫持、獲得 URL Scheme 的處理順序等等來防止自身的URL Scheme 被劫持。

另外，騰訊手機(jī)管家安全專家建議廣大用戶，在蘋果官方未修復(fù)此漏洞之前，盡量做到以下幾點(diǎn)：

首先，不要安裝來歷不明的軟件，特別是企業(yè)證書類軟件。

其次，養(yǎng)成良好的下載APP的習(xí)慣，選擇知名度較高的APP，無論越獄與否盡可能都在AppStore下載。

最后，越獄狀態(tài)下，盡可能安裝手機(jī)安全軟件，例如騰訊手機(jī)管家pro版，對(duì)手機(jī)進(jìn)行定時(shí)查殺病毒，修復(fù)漏洞。

關(guān)鍵詞： ios8.2安全嗎 ios8.2