新闻链接：babK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6A6i4K6u0r3x3U0l9I4y4g2)9J5k6o6l9@1i4K6u0V1x3U0q4Q4x3V1k6V1L8$3y4Q4x3X3c8A6j5$3y4*7L8i4k6#2M7o6l9H3x3o6R3%4y4K6y4Q4x3X3g2K6K9s2c8E0L8q4)9K6c8Y4u0W2k6W2)9K6c8r3#2&6M7X3g2S2k6l9`.`.
   新闻时间：2015年04月21日20:01
   新闻正文：新浪科技讯 北京时间4月21日晚间消息，应用分析服务公司SourceDNA周一发布报告称，约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息，如密码、银行账号或其他高度敏感信息。

　　SourceDNA预计，有200多万用户安装了这些存在安全隐患的应用，如Citrix OpenVoice Audio Conferencing、阿里巴巴(Alibaba.com)的移动应用、KYBankAgent 3.0和Revo Restaurant Point of Sale等。

　　该漏洞存在于早期版本的AFNetworking中。AFNetworking是一个开源的网络开发框架，允许开人员在自己的应用中添加网络功能。虽然最新的2.5.2版本已于三周前修复了该漏洞，但至少仍有1500项iOS应用在使用存在隐患的2.5.1版本。

　　要利用该漏洞发动攻击，黑客只需利用网吧或其他地方的WiFi网络监测存在漏洞的iOS设备，然后利用一个假冒的安全套接字层证书即可发动攻击。正常情况下，这个假冒的证书立即就会被识破。但由于2.5.1版本代码的逻辑错误，它并不会对该假冒证书进行验证，因此被视为合法证书。

　　最初SourceDNA并未公布这些受影响应用的名称，以便开发人员有时间进行升级。如今，SourceDNA提供了一个搜索工具，允许iOS用户根据开发商名称进行搜索。

　　上个月，苹果曾修复了影响iOS系统的FREAK安全漏洞。该漏洞是20世纪90年代一项美国法律的历史残留，当时的法律限制RSA加密密钥的出口，目前仍然得到很多浏览器的支持。(李明)

[培训]科锐逆向工程师培训第53期2025年7月8日开班！