1500个iOS应用程序可以打开简单的中间人攻击！

针对iPhone和iPad的约1500个应用程序包含HTTPS漏洞，使得黑客执行中间人攻击来窃取密码，银行信息和其他私人信息是“微不足道的”。

这个漏洞被SourceDNA，Cult of Mac报道发现，而且是开源AFNetworking代码库中的一个弱点，一些开发者把他们的应用程序放进了网络功能中。虽然在2.5 版本的 AFNetworking 中已经修复了这个漏洞，但是并不是所有受影响的应用程序都已经更新到最新版本，而是让它们面临攻击。

SourceDNA在App Store中扫描了140万个应用程序，以查找那些仍然受到影响的应用程序，虽然1500个被发现的应用程序在总数中所占的比例相对较小，但未打补丁应用程序的用户可能会在中间人攻击中拦截他们的数据。

通常会检测到伪造的安全套接字层证书，导致连接立即被丢弃，但研究人员发现，由于代码中存在逻辑错误，验证检查不会执行。这意味着欺诈性证书被运行AFNetworking 2.5.1版的应用所信任。

移动安全研究人员写道：“即使移动应用程序要求图书馆对SSL证书中的服务器验证进行检查，也会出现问题。“我们在一台真实的设备上测试了这个应用程序，而且我们意外地发现，所有的SSL流量都可以通过像Burp这样的代理服务器进行定期拦截，而无需任何干预！

截至周一，包括Citrix OpenVoice音频会议，Alibababa移动应用程序，Filix Flixster的Movies，KYBankAgent 3.0和Revo Restaurant Point of Sale等许多高端应用程序仍在使用AFNetworking的易受攻击的版本，Ars Technica报道。 名单较长，但微软，雅虎和Uber等公司的应用程序是在向开发者私下泄露后进行修补的。