ios8.2安全吗？ios8.2密码安全漏洞 -pc6苹果网iOS资讯

您的位置：首页 → iOS资讯 → IOS新闻 → ios8.2安全吗？ios8.2密码安全漏洞

ios8.2安全吗？ios8.2密码安全漏洞 时间：2015/3/25 18:01:17来源：www.pc6.com作者：Nothing我要评论(0)

　　ios8.2安全吗？最近网上爆出了一个关于iOS的系统漏洞，该漏洞可导致非越狱iOS设备的账号、密码等敏感信息被黑客所窃取，而且在目前最新的iOS8.2版本中，该漏洞仍未被修复。由于该漏洞是系统漏洞，因此影响所有iOS应用，其中包括支付宝等支付软件。对此，腾讯手机管家安全专家表示，该漏洞其实并非目前网传的那么神秘，这个关于iOS中URLScheme的漏洞，其实很多业内人士和技术开发人员都早已知晓，但是由于产品的很多功能都要用到URLScheme，因此很多人为了产品功能而不得不选择继续使用URLScheme。

　　手机安全专家分析漏洞原理

　　据手机安全专家表示，这一漏洞利用了URLScheme。相信URL Scheme 对于Launch Center Pro 、Workflow等 App 的用户都不会陌生。在iOS 中，一个应用可以将其自身绑定到一个自定义 URL Scheme 上，该URL Scheme 用于从浏览器或其他应用中启动该应用。

　　以使用美团+支付宝完成团购为例：用户通过美团App选择需要团购的内容，在进行支付时可以选择支付宝完成支付。在正常的情况下，美团调用正常的URL Scheme 启动支付宝，在支付宝中完成密码的输入后，由支付宝提交给服务器端进行验证。验证通过后，服务器返回正确信息，支付宝 App 再调用 URL Scheme 返回给美团 App，表明支付成功，团购过程完成。整个流程示意图如下：

　　而iOS系统允许多个App 声明同一个 URL Scheme，却没有响应的权限管理、校验等机制进行保证。漏洞作者经过测试发现，对于若干第三方 App 注册同一个 URL Scheme，顺序和 Bundle ID 有关。因此，如果能找到合适的 Bundle ID，使得调用时恶意应用先于支付宝被调用，则漏洞利用成功，恶意应用可以获得用户的账户和密码信息。此时黑客可以利用获得的用户信息正常完成支付过程。流程示意图如下：