軟件開發(fā)公司的iOS黑客有軍隊中的一句老話：“將軍們總是過去的戰(zhàn)爭，特別是如果他們已經(jīng)贏得了它。“很簡單，這意味著在準備下一種威脅，我們應該抵制太密切在過去的戰(zhàn)爭中戰(zhàn)斗在不同時期有不同的技術和環(huán)境。盡管法國被侵占馬其諾防線–完美防御進一步侵略戰(zhàn)德國，但幾乎無用的反對二戰(zhàn)德國閃電戰(zhàn)。

 

所以它是應用程序的安全性。在網(wǎng)絡時代的早期，仍有很強的經(jīng)典桌面漏洞如棧溢出和緩沖區(qū)溢出的恐懼?，F(xiàn)在，我們在移動應用的時代，世界的安全仍然停留在網(wǎng)絡安全領域。盡管事實上，它已經(jīng)超過兩年以來的OWASP組發(fā)布10大漏洞移動一些開發(fā)商認為，移動安全測試他們的應用程序。

 

上周，研究人員發(fā)現(xiàn)尚未對iOS應用的另一個漏洞類型。通過一個中間人的方法，攻擊者可以欺騙一個iOS應用程序和API對惡意URL的Web通信，不是一次而是永遠的事實。Ars Technica有攻擊的細節(jié)，由安全組Skycure發(fā)現(xiàn)，但總結很簡單。

 

事實證明，許多iOS應用沒有強有力的保護免受惡意301重定向為API調用。301重定向是一個基本的網(wǎng)絡命令，說，“這東西不在了。它在那兒吧。”網(wǎng)絡的主人使用它時，將內容從一個地方到另一個環(huán)節(jié)的工作順利，即使內容的地址變了。但如果我能影響你的應用程序的通信，并說“你的API是真的在我的惡意服務器，然后我在理論上可以攔截或修改所使用的應用程序的內容。因為301碼信號的一個永久重定向，您的應用程序將繼續(xù)我已不再直接干預經(jīng)過長時間的使用我的惡意服務器。

 

解決這個問題很簡單。確保你的應用程序使用SSL通信的明文代替。認為在這個時代，任何人都會使用加密API很奇怪，但這是很好的理由。通過將加密你的API的流量額外的步驟，你還要確保你的用戶只能看到正確的內容并沒有什么惡意或虛假。SSL證書是比較便宜的成本，軟件開發(fā)公司的應用程序因為安全問題失去信譽。