说三道四技术文摘-感悟人生的经典句子
说三道四 > 文档快照

安全漏洞影响2.5万iOS应用?AFNetworking维护者发布回应

HTML文档下载 WORD文档下载 PDF文档下载
日前,一则关于著名的iOS网络通信库AFNetworking曝安全漏洞影响2.5万iOS应用的消息铺天盖地而来,引发众多开发者担忧,对此,其维护者Alamofire Software Foundation在GitHub上进行了回应。

日前,一则关于著名的iOS网络通信库AFNetworking曝安全漏洞影响2.5万iOS应用的消息铺天盖地而来,有1000多种应用程序被指称,由于SSL存在Bug,导致这些应用程序容易遭到攻击。对此,由Mattt Thompson一手创立的Alamofire Software Foundation在GitHub上对于AFNetworking曝SSL漏洞引发的众多担忧进行了回应,以下为全文:

背景信息

就此事,对于不熟悉AFNetworking的人,这里有一些与其相关的细节需要了解:

  • AFNetworking是一个第三方开源库,置于苹果内置框架之上,允许开发者向iOS和OS X应用添加网络功能。
  • AFSecurityPolicy是AFNetworking的组件之一,可根据应用程序设置的规则处理验证挑战(authentication challenge),包括通过HTTPS连接时,对服务端返回的X.509证书的评估。
  • 证书锁定(certificate pinning)是一项信息安全技术,它在标准TLS评估的基础上做了改进,通过服务器显式地发送证书来匹配包含在客户端的凭证(credentials)。AFNetworking从版本1.2.0开始一直提供证书锁定技术。
  • 中间人攻击(Man-in-the-Middle Attack, MitM)是在客户端和服务器之间插入攻击者本身,使两边都认为自己和对方在直接通信。
  • 这样的一种攻击方式在客户端和服务器之间会涉及某个不可信的Wi-Fi接入点。没有对响应进行恰当地验证,攻击者就可以拦截通讯信息,用户凭证或其他敏感信息因而会遭到泄露。
AFNetworking官方文档强烈建议应用程序要通过HTTPS进行通信,并且使用证书或公钥锁定技术来弱化MitM这种攻击行为。工程中所包含的示例代码遵循了这些建议,在应用程序中展示了证书锁定的使用方式。

事件回放

  • 2015年2月12日,AFNetworking 2.5.1发布。这一版本包含了一个补丁,修改了证书的安全策略验证方式,将SSLPinningMode修改为AFSSLPinningModeNone。验证挑战过程中,服务器的证书默认是不会被验证的,除非客户端存在与众不同的配置行为,比如使用SSL pinning这样的证书绑定技术。
  • 2015年3月12日,我们从这个GitHub Issue开始意识到上述的修改行为所造成的影响。
  • 2015年3月26日,来自Minded Security Research的Simone Bovi和Mauro Gentile发表了一篇博文,详细说明了AFNetworking 2.5.1潜在的MitM方面的漏洞。
  • 同样在2015年3月26日,AFNetworking 2.5.2发布。这个版本恢复了先前的证书安全策略评估方式。如果安全策略将validatesDomainName设置为YES,那么SSLPinningMode将会被修改为AFSSLPinningModeNone。
  • 2015年4月20日,AFNetworking 2.5.3发布了,该版本做了额外的修改。对所有的安全策略默认设置validatesDomainName为YES。
  • 2015年4月21日,GitHub上新开了一个Issue,要求完善AFNetworking的文档和与安全相关的功能特性。我们正就此积极努力地对参考材料做全面彻底的修改。
  • 还是在2015年4月20日,来自SourceDNA的Nate Lawson发表了一篇博文,宣称某个工具可以识别苹果商店中使用了AFNetworking2.5.1的应用程序。包括来自Ars Technica的Dan Goodin在内的许多记者,在其公布的文章中都引用了该博文并提及了博文的作者。这些公开发布的内容都没有就AFNetworking维护人员的解决方案进行整理而置评。
  • 2015年4月24日,SourceDNA在其后续发布的博文中声称,存在更多带有安全漏洞的应用程序,来自Ars Technica的Dan Goodin随后也发表了一篇带有相同效果的文章。需要强调的是,没有任何一篇公开发表的文章对AFNetworking维护人员的解决方案进行整理而置评。

使用AFNetworking的开发者们可以做什么?

  • 如果应用程序通过HTTPS通信,却没有启用SSL pinning技术的话,应用程序就可能容易受到所报道的MitM攻击。

AFSecurityPolicy的官方文档中的内容:

将固定的SSL证书( pinned SSL)添加到应用程序中,可以帮助应用避免中间人攻击以及存在的其他漏洞。大力鼓励应用程序在处理用户数据或财务信息的时候,所有通信途径都通过HTTPS协议,配置并启用SSL pinning技术。

无论在什么时候,遵循这些建议的应用程序都不应该存在上述安全漏洞。

  • 如果应用使用HTTPS进行通信,并且启用了SSL pinning技术,就不容易遭到所说的MitM攻击。

很大一部分应用程序使用AFNetworking是通过推荐的步骤启用了SSL证书或public key pinning机制的,这些应用程序不太不容遭到上面说的MitM攻击。

  • 如果使用的是先前的版本AFNetworking,我们强烈推荐您升级到版本2.5.3。

AFNetworking 2.5.1和2.5.2包含的默认配置不适合产品级应用程序——特别是如果不进行额外的配置,就不会提供必要的TLS评估。

AFNetworking 2.5.3默认配置更加安全,即使不使用SSL pinning也会进行域名验证。

  • 如果使用NSURLConnection或NSURLSession代替AFNetworking的话,你仍然需要检查验证挑战的实现方式。

苹果内置的NSURLConnection和NSURLSession,还有Security框架所提供的API,都具有对凭证验证的安全实现方式。但是,像任何API一样,某个应用程序的安全性取决于这些API的使用方法。

是否使用AFNetworking本身并不能保证你的应用程序能够灵活应对MitM那样的攻击。是否能够灵活应对攻击完全取决于应用程序使用可用API的方法。在产品环境下,测试应用程序的健壮性和网络安全性最终是开发人员的职责。

对负责任的安全研究和新闻工作的看法

对于终端用户来说,安全研究人员在软件安全方面起着核心作用。研究人员与软件开发人员共同努力,通过遵循既定的负责任的漏洞披露(responsible disclosure),可以快速修复漏洞。同时,将当前用户的风险降到最低。

然而,我们对一些研究人员的做法和一些对AFNetworking的披露感到失望。作为人尽皆知的话题,信息安全从未如此重要。安全研究人员和记者拥有独特的机会来让读者了解这些事实。但不幸的是,这样的披露方式常常通过制造恐惧来增加点击量,而不是客观详实的报道。

尚未有确切的方法可以表明多少应用程序受此问题的影响;这些对安全问题严重程度的揣测摧毁了对问题准确和适度的回应。同样地,根据揣测提出的权利主张对企业和其客户也帮助甚少。

事实上,编写安全的软件一直以来都是一项巨大的挑战。这需要多学科的工程师们一起合作完成。这是一个极其重要的任务,最好由理性且富有责任心的人参与。

作为软件维护人员,我们有很多事情可以做得更好,并积极采取措施来完善自身的组织和流程。从今天起,我们期待与信息安全社区的成员紧密合作,负责任地寻找并解决任何安全漏洞。

对负责任的开源项目维护工作的看法

我们真诚地向使用AFNetworking的开发者和iOS整个开发者社区表示歉意。

作为著名开源项目的维护者,我们有责任提供与高标准相契合的软件,该软件将作为应用程序不可或缺的一部分。我们却没有对应该尽快更新的版本做出回应。我们未能向您有效传达至关重要的安全信息。这所有的一切,我们表示真诚的歉意并负全责。

在未来的几周内,我们将推出重组后的AFNetworking及其相关项目,以确保稳定的通信顺利进行。从用户的角度看,这意味着更加频繁地发布版本,更高的透明度,处理问题与合并请求过程中更多的反馈,我们为此而感到兴奋。

(翻译/白云鹏 责编/唐小引)

文章来源:GitHub


CSDN移动将持续为您优选移动开发的精华内容,共同探讨移动开发的技术热点话题,涵盖移动应用、开发工具、移动游戏及引擎、智能硬件、物联网等方方面面,如果您有想分享的技术、观点,可通过电子邮件(tangxy#csdn.net,请把#改成@)投稿。

第一时间掌握最新移动开发相关信息和技术,请关注mobilehub公众微信号(ID: mobilehub)。


基于IBM Bluemix开发微信公共账号应用 用Cloudant在Bluemix上构建一个简单的文字游戏应用程序 IBM Bluemix是什么? 【最具价值CTO评选秀】纷享销客CTO刘晨:企业移动的技术挑战 【最具价值CTO评选秀】能做存储的超级计算机——任宇翔和以色列团队的创业故事 OpenStack Swift存储策略 分享5个可视化的正则表达式编辑工具 在iOS程序中使用Bluemix云推送服务 GitHub开源任务列表组件 表白健身小能手!详解Apple Watch特色功能 高逼格不任性!个人智能航空摄影飞行设备ZANO Clappr——开源的Web视频播放器 东软举办2014解决方案论坛 将全面推进BBC战略 Google Glass已死,智能眼镜长存! 五个步骤,保护移动应用免受恶意攻击 声波改变移动社交——参加联想“茄子快传”创意征集 赢取平板电脑大奖! 车载硬件Baen:被游戏化的驾驶体验 深入解析Docker背后的namespace技术 响应苹果要求:Qt 5.4、Qt Creator 3.3同迎RC版 击碎泡沫谈发展,盘点OpenStack商业生态圈! 2014年11月操作系统份额:Windows 7雄居第一,XP跌新低 微信开放平台上线统计报表功能 【向导】如何开始学习高伸缩性编程? 基于Apache Samza,揭秘LinkedIn架构背后的技术 Aeron:每秒可以传递数百万消息的低延时开源消息系统 英特尔物联网马拉松:用创造力改变生活 年末总结:2014年全球手游市场发展的六大趋势 Saber——模块化、组合式的移动前端框架 什么仇什么怨?还原日本反美颜应用Primo真面目 横跨2D与3D!专属C#开发者的超强游戏引擎Paradox 首份“2014年移动外语学习行业报告”等你下载 请大家帮帮忙:如何将一个字符转换为unicode码形式(得到的是数字,而不是字符串)! msn怎么通不过http代理 求助:J2EE Container中deployed的servlet是否可以调用EJB local home? 有关时间限制 ie问题有没有碰到过 TADOTable+TDBGridEH+TDataSource中编辑一有关键字的表时,怎样做到避免在输入相同的关键字时的出错? IE经常自动关闭是什么原因 菜鸟请教 UlraEdit? 四舍五入的函数是什么?? 帮帮忙!!!我编译出这问题?? 请问:发现病毒:生成folder.htt,还有后缀都是htt的其他文件,用kv3000杀,提示kbs\kj,请问是什么病毒,怎么杀毒(急)? ie问题有没有碰到过 打开adsl的猫机器能自己启动为什么? 神洲数码怎样? linux中如何得到某个网络设备的ip地址? 请教ADO的Recordset对象的Delete的问题 请问jbuilder的参考书,哪本比较好?市面好像种类比较少 请问怎样获得临时表的记录? @@@@@@@@@@如何使我的折线图随着时间移动@@@@@@@@@@ 菜鸟问:各位大哥看c++ primer的时候是用什么编译器? 神洲数码怎样? jsp如何将web页面的String型转换为long型? 极容易的问题 ,先来先得! 大虾,救命啊!!!!!! jsp如何将web页面的String型转换为long型? ★★★帮忙翻译一句话!谢谢★★★ **冗余醒目**《如何在输入的时候减小冗余》**冗余醒目** 倡议书:维护您的网络权益 [100分,两日内结]怎样在jsp中得到我的数据 两个菜鸟问题,送分拉 线程与消息??? c、odbc、嵌入式sql的关系? 简单的重载问题! 用<input type="fiel" name="test">时,怎样判断输进去的文件是硬盘上实际存在的? 请问哪里有eclipse 下载? FINDING SOMEBODY! 显示器不亮,请帮忙,解决给100分 写在3.15黎明的前夕 **冗余醒目**《如何在输入的时候减小冗余》**冗余醒目** 各位,CSDN的论坛都是用些什么工具开发的?? 请问个位大虾,我的程序为什么不能执行(TC++3.0) 在VC中怎么调用IE来显示一个页面? 怎样在新开的页面给已开的页面上的一个TextBox插入新的字符串 [转贴]网络版权问题 **冗余醒目**《如何在输入的时候减小冗余》**冗余醒目** 用purify测试过的release版本怎么在别人的计算机上运行有问题? 如果用asp连接mysql,请问连接字符串是什么? 我要做一个在小型的对等网上运行的数据库软件,用什么方法好点? 如果用asp连接mysql,请问连接字符串是什么? 请高手帮我解答一个关于在ASP中调用存储过程的问题? 我国义务教育的教学计划应具有的三个基本特征是(  )A.强制性、基础性、科学性  B.强制性、普遍性、科学性C.科学性、普遍性、基础性  D.强制性、普遍性、基础性选什么? 二氧化碳含量最高的是 A 呼出气体 B组织细胞 什么东西能导电? 写一篇关于冬天的记叙文 呼出的气体中氧气含量. 在火车厢里跳起来会落在原地还是在后面 成功的营销计划一般具有哪些特征 读狐狸和狗 有感 400~500字狐狸钻进羊群,抱起一只正在吃奶羔羊,假意抚爱他.牧羊犬见了,问道“你这是干什么?”狐狸说“我照料他,逗他玩”牧羊犬说“你不立刻放下他,我就让你尝尝什么是狼 地球是圆的,而且在自西向东转动着,为什么人跳起来还会落到原地、? 形容“爱”的段落或句子.优美些的,淡雅些的,平淡些的,独特些的,具有代表性的...分类为:1.幸福2.悲哀3.沉思4.安慰5.努力,奋斗6.夸张7.愤怒8.怨恨9.埋怨10.觉得(因为没有尝试过.)如果还有别 二氧化碳验满将燃着的小木条放到收集好二氧化碳的集气瓶的瓶口 为什么小木条没有熄灭 人在高速行驶的车上跳起来人还会落在原地吗? 求关于形容幸福的句或段落 想要验满氧气应怎样做是将带火星木条放入集气瓶口还是将带火星木条接近集气瓶口 在你身边,若有一束电子从上向下运动,在地球磁场的作用下,他将?向西偏转 这道题主要问题是判别地磁场的方向敢问地磁场到底是怎么分布的?有图么 形容小区环境不错的句子段落(最好有关于环保的) 阿拉斯加的海洋哺乳动物数量减少还是增加了呢? 曼富图的云台能不能装在百诺的三脚架上面405云台能不能装在百诺的4系的脚架上面?我很好奇 形容打架的句子或段落 化学:四氯化碳之间也是共价键相连啊,为何是分子晶体而不是原子晶体?原子晶体的具体概念? 二氧化硅 金刚石有无分子间作用力?什么样的物质的微粒存在分子间作用力?谢 一个密封的杯子,不断向外抽气,里面空气的密度变化吗? 在匀速行驶的火车上,我们竖直向上用力地跳起来,落下来后为什么还会站在原地? 高中物理竞赛重点考点 季羡林的文章 一条老狗 读后感 火车提速原理近十年来,铁道部先后6次实行火车大提速.为了适应提速的要求,则()A 机车的额定功率可以保持不变 B 机车的额定功率必须减小C 铁路转弯处的路基坡度应加大 D 铁路转弯处的 如何将云台安装到三脚架上?曼富图808RC4云台+百诺三脚架.安装起来有点费劲,求指导, 己知在三角形ABC中,AB=AC,D是三角形ABC中的一点,且角ADB=角ADC,求证:BD=DC图暂时没有 生活中哪些是导电海绵(泡沫)?要常见的,到点效果好的, 站在火车上,跳起来,还在原来的地方吗我们的意见不统一, 说一说,在你的生活中,科学带给你的影响和改变. 谁能告诉我包装泡沫导电吗?我不小心把一粒白色的包装用的泡沫掉进液晶显示器中去了,请问这样会造成短路吗?如果不会短路,那么对显示器的使用有什么影响. C为线段AB的中点,D为AB上的一点,E为AD的中点,且AD=6,EC=7.求DC,AB的长. 是谁改变了你的生活.如果有人改变了你的生活,为你带来了一片新天地,你会感激他一辈子吗? 什么叫导电海绵 C为线段AB的中点,D为线段AB上一点,E为线段AD的中点,且AD=6cm,EC=7cm.求线段DC,AB的长 我叫MT 安装失败 如题 我下 靠谱安装的 提示 安装失败 塑料泡沫是否导电 电势梯度,电势,电场强度哪两个是相等的物理量 除了金属甚么东西会导电?物质具有甚么性质能导电 高中物理竞赛需要培养哪些思维能力?尽量完整些,谢谢. 什么东西不会导电 日常生活中哪些东西可以导电?制作科学小发明怎样安全使用电线或线路或导体? 高中的物理竞赛要怎么学才能考出好成绩? 写反义词:甜蜜 日常生活用品哪里有导电橡胶 海豚真的救过人类吗? 甜蜜的反义词是? 《冬天的温暖》600字,是记叙文哦!老班布置任务了,写篇《冬天的温暖》600字记叙文哦,明天就要上交咯!呜呜,不要什么下雪天的,可以是发生在自己身上的事哦! 高中离子方程式总结谁能帮我把高中所以离子方程式总结下 所有不是所以不好意思 C是线段AB的中点,D是线段CA上的一点,E为线段AD的中点,如果BD=6,求EC的长. 计划具有——————————三个特点. 高一化学离子方程式的总结 中华鲟是海洋动物,还是淡水生物 全球冬天的环境的记叙文 高一化学离子方程式总结 C是线段AB的中点,D是线段CA上的一点 ,E为线段AD的中点.如果BD=6 求线段EC的长. 项目计划特征有哪三个部分组成 呼出气体含量最多是什么我个人认为第一是氮气 第二是氧气 第三才是二氧化碳 我问过全班同学 包括化学老师 他们都说二氧化碳最多 真的气的我嘴都歪了 有Q可能啊 我还专门上网查了查 结 C是线段AB的中点 D是线段CA上的一点 E为线段AD的中点 如果BD=6 求线段EC的长. 德国380公斤女子出门就医 消防队出泰国国会再开赦免法案审议 国内政治博日本一母亲遭高中生儿子殴打数小时后离澳大利亚3岁男童被自家宠物狗咬伤后不中国全票当选联合国经社理事会成员 任全球首条欧亚海底铁路隧道通车 造价4日本超强吉祥物“船小梨”:虽无名分仍挪威政府鼓励已婚夫妇每周约会一次 以“光棍节”将至 美亚裔“脱光派对”吸福布斯评普京最具全球影响力 奥巴马退39岁主妇西村真弓当选第4届日本“美Facebook第三季度创收20亿美美国一男子好运连连 才中千万美金又中美主播为“杀光中国人”言论向示威者鞠日男子扮高富帅专哄按摩女 谎称投资骗日本人气漫画《海贼王》发行总量将超3希腊内衣商发明“社交内衣”:解扣可自德国锁定美情报部门窃听站位置 位于使印度一客车爆炸起火44人死 司机清洁法国多名知识分子请愿维护嫖妓权 被称1990至2010年北半球平均气温或信仰带给人无穷的希望媳妇对婆婆说了10句话,婆婆听后一宿西红柿小米糊中秋祝词与中秋祝福短信收录1~36个月宝宝早教课程,妈妈们收藏黑椒酱炒河虾【必读】5月5日操盘内参名言警句大全・立志素炒芹菜百合A股百点巨震逼近4500 央行紧急发肉蛋焖豆腐破釜沉舟的典故震惊GIF回顾:女孩被1秒碾掉头颅 信鸽误入防护网受伤 郑州一葡萄园主施[秘]炒股高手盈利翻9倍的秘诀!赠玫瑰 留余香《神雕侠侣》提升友情玩汽车博物馆在美国和欧洲为何如此不同?Baharash 于阿联酋沙漠打造奢蔓越莓饼干足球题材剧本被指易审批,又一个“神剧俄罗斯军迷重演珍宝岛事件
备案号:鲁ICP备13029499号-2 说三道四 www.s3d4.cn 说三道四技术文摘