苹果修复代理操纵Phantom攻击在iOS 8.3，几维安全给你APP加密保护！

如果未修复，本周iOS更新中修复的其中一个漏洞可能会使iPhone几乎无用。如果被触发，可能导致网络应用程序退出，系统停止。在某些情况下，设备甚至不能重新启动。

研究人员昵称为Phantom的这个漏洞源于iOS的HTTP代理设置中的配置错误。如果攻击者相应地调整了设备的代理值，那么它们可能会在libsystem_network.dylib（手机上的一个动态库）中引起几个免后使用的漏洞。

苹果在星期三的IOS 8.3更新中解决了漏洞（CVE-2015-1118）中的一个内存损坏问题。

几维安全指出，如果没有打补丁，实际上有几种方法，攻击者可能会欺骗一个毫无戒心的用户配置手机的代理，使其变得脆弱。

当iOS警告用户通过配置文件更改其代理时，攻击者理论上可以通过WiFi向受害者发送包含代理设置的配置文件。然后，攻击者可以自由地调整用户的代理设置。

“如果攻击者具有令人信服的社会工程技能，那么不了解安全隐患的用户可能会继续安装恶意的配置文件，”

攻击者还可以劫持HTTP流量来修改代理自动配置（PAC）文件。攻击者可能会欺骗用户错误地设置PAC，使任何使用它的用户易受影响。攻击后手机基本上进入了“昏迷状态”，意味着它会反复崩溃。当设备继续生成崩溃信息时，它不会响应用户输入。

在演示攻击的视频中，用户使用假图书馆网站上列出的URL设置代理。一些公共WiFi提供商，如学校图书馆，允许用户配置他们的设备的代理使用他们的资源。从那里攻击者劫持HTTP流量并修改PAC。在视频中，很明显，在攻击被利用之后，没有网络应用可以正常工作。即使用户重置iPhone，屏幕也不会立即亮起。用户甚至无法解锁设备，因为它终于启动，因为它的所有服务都一次崩溃。

几维安全鼓励用户尽早更新，按预期，在将iPhone连接到公共WiFi时要小心。

警告说：“由于自动代理设置对于不限于Phantom攻击的用户具有重要的安全影响，因此公共WIFI提供商应采取其他措施来保护易受攻击的设备，通过HTTPS实施PAC文件的安全部署。

几维安全iOS加密能够将Objective-C、C、C++等源代码编译成二进制代码，不同之处在于，安全编译器在编译的时候，能够对代码逻辑进行混淆、变形、膨胀等安全处理，同时还能够对敏感的字符串进行加密保护 ！能有效避免被IDA Pro等逆向工具恶意分析的风险。

安全编译器支持iOS项目和安卓NDK项目！

面向个人开发者提供免费版的安全编译器，但仅支持静态库项目，注册&登录几维安全平台即可使用。