在經(jīng)過(guò)對(duì)iOS App Store中的二進(jìn)制代碼進(jìn)行掃描后，Will Strafach的verify.ly服務(wù)檢測(cè)到商店中有76款人氣應(yīng)用面臨著數(shù)據(jù)受攔截的風(fēng)險(xiǎn)。不管App Store的開(kāi)發(fā)者是否啟用App Transport Security安全功能，這種數(shù)據(jù)攔截都有可能會(huì)發(fā)生。幾個(gè)月前，Experian和myFICO Mobile公司的iOS應(yīng)用中也發(fā)現(xiàn)了同樣的漏洞。

　　Strafach的verify.ly服務(wù)專(zhuān)用于掃描iOS App Store中的應(yīng)用，查找漏洞，給開(kāi)發(fā)者提供幫助，讓他們知道應(yīng)該如何強(qiáng)化自己的代碼，保證其安全。該服務(wù)的掃描主要是為了發(fā)現(xiàn)漏洞的模式，更可怕的是有時(shí)候會(huì)發(fā)現(xiàn)這些漏洞不斷地出現(xiàn)在各種應(yīng)用之中。而這次的發(fā)現(xiàn)之所以這么令人擔(dān)憂，不僅僅是因?yàn)榘l(fā)現(xiàn)的都是常用的應(yīng)用，更因?yàn)檫@些應(yīng)用已經(jīng)被累計(jì)下載了1800萬(wàn)次，也就意味著目前有這么多用戶都面臨著風(fēng)險(xiǎn)。

　　根據(jù)Strafach的介紹，在一定的Wi-Fi范圍之內(nèi)，如果用戶的設(shè)備當(dāng)前正在使用，那么這種類(lèi)型的攻擊就有可能會(huì)發(fā)生。它完全有可能發(fā)生在公共場(chǎng)所，甚至有可能在你的家里，只要攻擊者和你的距離足夠近。攻擊者可以使用定制硬件或者是一個(gè)稍微經(jīng)過(guò)修改的移動(dòng)電話即可發(fā)起攻擊，需要的設(shè)備取決于范圍以及功能。如果要舉一個(gè)例子來(lái)說(shuō)明這種攻擊的話，那就是攻擊者能夠近距離讀取你的信用卡數(shù)據(jù)。

　　受影響應(yīng)用名單

　　Strafach在報(bào)告中已經(jīng)將這些應(yīng)用按照低風(fēng)險(xiǎn)和中高風(fēng)險(xiǎn)分類(lèi)。其中低風(fēng)險(xiǎn)應(yīng)用有33款：

　　ooVoo、VivaVideo、Snap Upload for Snapchat、Uconnect Access、Volify？、Uploader Free for Snapchat、Epic??？—？Unlimited Books for Kids、Mico？—？Chat， Meet New People、Safe Up for Snapchat、騰訊微云、Uploader for Snapchat、華為 Huawei HiLink （Mobile WiFi）、VICE News、Trading 212 Forex & Stocks、途牛旅游-訂機(jī)票酒店火車(chē)票汽車(chē)票特價(jià)旅行、CashApp？、FreeMyApps、1000 Friends for Snapchat？、YeeCall Messenger-Free Video Call&Conference Call、InstaRepost？—？Repost Videos & Photos for Instagram Free Whiz App、Loops Live、Privat24、Private Browser？—？Anonymous VPN Proxy Browser、AMAN BANK、FirstBank PR Mobile Banking、vpn free？—？OvpnSpider for vpngate、Gift Saga？—？Free Gift Card & Cash Rewards、Vpn One Click Professional、Music tube？—？free imusic playlists from Youtube、AutoLotto： Powerball， MegaMillions Lottery Tickets、Foscam IP Camera Viewer by OWLR for Foscam IP Cams、ScanLife QR and Barcode Reader。

　　上述這些應(yīng)用的數(shù)據(jù)被攔截的可能性比較低，Strafach在報(bào)告中指出有些應(yīng)用是其中的用戶名和用戶密碼會(huì)被攔截，而有些是操作系統(tǒng)版本號(hào)、分析信息、機(jī)型、Wi-Fi網(wǎng)絡(luò)名稱(chēng)和Wi-Fi網(wǎng)絡(luò)BSSID等會(huì)被攔截。

　　中高風(fēng)險(xiǎn)分別有24款和19款，不過(guò)目前還沒(méi)有公布名單。他們表示會(huì)先與受影響的銀行、醫(yī)療服務(wù)提供方以及其他敏感應(yīng)用的開(kāi)發(fā)者聯(lián)系之后，在未來(lái) 60-90 天再逐漸公開(kāi)。目前因?yàn)槊舾行赃@份名單僅提供給部分相關(guān)人員。

　　如何防范和避免

　　App Transport Security（ATS）是蘋(píng)果在iOS 9中引入的一項(xiàng)隱私保護(hù)功能，屏蔽明文HTTP資源加載，連接必須經(jīng)過(guò)更安全的HTTPS。此前蘋(píng)果宣布到2017年1月1日，App Store中的所有應(yīng)用都必須啟用App Transport Security安全功能，否則極有可能被拒！不過(guò)后來(lái)他們又延長(zhǎng)了截止日期，目前還不知道最終日期是什么時(shí)候。

　　針對(duì)這次出現(xiàn)的問(wèn)題，Will Strafach在報(bào)道中指出其實(shí)蘋(píng)果方面也束手無(wú)策。如上文所介紹，蘋(píng)果ATS也無(wú)法讓用戶避免這種風(fēng)向。因?yàn)槿绻O(píng)果想為了解決這個(gè)安全問(wèn)題而去推翻這個(gè)功能的話，那么部分iOS應(yīng)用會(huì)因此變得更加不安全，因?yàn)樗鼈儾荒軌蛟谶B接的過(guò)程中使用“證書(shū)鎖定”（certificate pinning），而且它們也無(wú)法獲得信任，否則使用內(nèi)部 PKI 的企業(yè)局域網(wǎng)連接可能會(huì)需要不可信的證書(shū)。因此這個(gè)風(fēng)險(xiǎn)只能夠是由開(kāi)發(fā)者來(lái)幫助用戶解除，或者說(shuō)將風(fēng)險(xiǎn)降到最低，開(kāi)發(fā)者必須強(qiáng)化他們的應(yīng)用的安全性。

　　用戶也可以通過(guò)一些辦法來(lái)保護(hù)自己的安全。正確配置VPN有助于緩解這個(gè)問(wèn)題。如果用戶不想使用VPN的話，那么Strafach建議用戶關(guān)閉Wi-Fi連接，具體如下：如果你在公共場(chǎng)所的時(shí)候需要在自己的移動(dòng)設(shè)備上執(zhí)行某些敏感任務(wù)（比如你想打開(kāi)銀行用戶，查看你的銀行賬戶），你就可以在執(zhí)行這個(gè)任務(wù)之前，現(xiàn)在設(shè)置中關(guān)閉“Wi-Fi”的開(kāi)關(guān)，從而避開(kāi)上述風(fēng)險(xiǎn)。

　　即便是蜂窩網(wǎng)絡(luò)其實(shí)也有風(fēng)險(xiǎn)，蜂窩攔截難度更高，需要一些非常昂貴的硬件設(shè)備，但是蜂窩攔截目標(biāo)太大，很容易被發(fā)現(xiàn)，而且在某些國(guó)家這種攔截是非法的，因此攻擊者一般不會(huì)嘗試通過(guò)蜂窩網(wǎng)絡(luò)去攔截用戶的數(shù)據(jù)。

　　對(duì)于在蘋(píng)果應(yīng)用商店中發(fā)布應(yīng)用的開(kāi)發(fā)商，Will Strafach建議在提交應(yīng)用給蘋(píng)果審核之前，先使用verify.ly服務(wù)進(jìn)行掃描，它可以發(fā)現(xiàn)應(yīng)用中存在的漏洞以及其他問(wèn)題。然后再提供一份易讀的報(bào)告，介紹所有可能存在的問(wèn)題，以保證你的客戶數(shù)據(jù)安全。

　　另外Will Strafach也提醒開(kāi)發(fā)者在插入與網(wǎng)絡(luò)相關(guān)的代碼，改變應(yīng)用程序的行為時(shí)必須特別小心。很多與此相似的問(wèn)題都是因?yàn)殚_(kāi)發(fā)者從網(wǎng)絡(luò)上復(fù)制代碼的時(shí)候沒(méi)有完全理解這些代碼。