軟件開發(fā)公司的iOS黑客有軍隊中的一句老話：“將軍們總是過去的戰(zhàn)爭，特別是如果他們已經(jīng)贏得了它。“很簡單，這意味著在準(zhǔn)備下一種威脅，我們應(yīng)該抵制太密切在過去的戰(zhàn)爭中戰(zhàn)斗在不同時期有不同的技術(shù)和環(huán)境。盡管法國被侵占馬其諾防線–完美防御進(jìn)一步侵略戰(zhàn)德國，但幾乎無用的反對二戰(zhàn)德國閃電戰(zhàn)。

 

所以它是應(yīng)用程序的安全性。在網(wǎng)絡(luò)時代的早期，仍有很強(qiáng)的經(jīng)典桌面漏洞如棧溢出和緩沖區(qū)溢出的恐懼?，F(xiàn)在，我們在移動應(yīng)用的時代，世界的安全仍然停留在網(wǎng)絡(luò)安全領(lǐng)域。盡管事實上，它已經(jīng)超過兩年以來的OWASP組發(fā)布10大漏洞移動一些開發(fā)商認(rèn)為，移動安全測試他們的應(yīng)用程序。

 

上周，研究人員發(fā)現(xiàn)尚未對iOS應(yīng)用的另一個漏洞類型。通過一個中間人的方法，攻擊者可以欺騙一個iOS應(yīng)用程序和API對惡意URL的Web通信，不是一次而是永遠(yuǎn)的事實。Ars Technica有攻擊的細(xì)節(jié)，由安全組Skycure發(fā)現(xiàn)，但總結(jié)很簡單。

 

事實證明，許多iOS應(yīng)用沒有強(qiáng)有力的保護(hù)免受惡意301重定向為API調(diào)用。301重定向是一個基本的網(wǎng)絡(luò)命令，說，“這東西不在了。它在那兒吧。”網(wǎng)絡(luò)的主人使用它時，將內(nèi)容從一個地方到另一個環(huán)節(jié)的工作順利，即使內(nèi)容的地址變了。但如果我能影響你的應(yīng)用程序的通信，并說“你的API是真的在我的惡意服務(wù)器，然后我在理論上可以攔截或修改所使用的應(yīng)用程序的內(nèi)容。因為301碼信號的一個永久重定向，您的應(yīng)用程序?qū)⒗^續(xù)我已不再直接干預(yù)經(jīng)過長時間的使用我的惡意服務(wù)器。

 

解決這個問題很簡單。確保你的應(yīng)用程序使用SSL通信的明文代替。認(rèn)為在這個時代，任何人都會使用加密API很奇怪，但這是很好的理由。通過將加密你的API的流量額外的步驟，你還要確保你的用戶只能看到正確的內(nèi)容并沒有什么惡意或虛假。SSL證書是比較便宜的成本，軟件開發(fā)公司的應(yīng)用程序因為安全問題失去信譽(yù)。