警惕：苹果iOS上手机银行APP存安全漏洞

近日消息，据国外媒体报道，苹果iPhone或iPad用户请注意了，iOS版本手机银行存在安全风险漏洞。研究机构IOActive Labs研究人员阿里尔·桑切斯（Ariel Sanchez）对40款移动银行应用进行了测试，与这些应用有关联的银行为全球最具影响力的60家银行。

iOS上手机银行APP存安全漏洞

起初，桑切斯对在iOS银行应用中发现其中很多的银行都未实施基本的安全保护措施，尽管在通知了这些易受攻击漏洞之后情况依然未变。

桑切斯并未对发现的银行应用漏洞进行详细的研究，也未展示如何利用这些漏洞。他对40款iOS移动银行应用的安全性进行了40个小时的测试，所有的这些应用都允许安装在一款越狱的iOS设备上。对此，他建议iOS设备应进行防越狱保护。

接下来对每款应用的客户端进行了测试：运输安全性、编译器保护、UIWebViews、不安全数据存储、记录以及二进制分析。在运行测试中，包括验证是否会有敏感信息被发送至未经加密的数据中；会话是否安全以及SSL证书是否经恰当处理。用户可能不会对这些感兴趣，相反会将这些应用具备合理的安全性视为理所当然的事。

后来发现，40%的经审核应用都未验证SSL证书的可靠性，这使得这些应用十分容易遭受MiTM攻击。90%的应用包括数个覆盖整个应用的非SSL连接，黑客可能据此伪造登录提升或类似的骗局。

更糟糕的是，他在这些应用的代码中发现了硬核凭据，通过使用硬核凭据，黑客能够获得接入这些银行开发基础架构的机会，从而利用恶意软件干扰相关软件，并导致所有应用的用户出现大规模的感染情形。

或许你听到过多次多因子身份验证方式，但70%的被测试应用没有替代的验证解决方案来帮助用户“缓和模拟攻击的风险”。

iOS未受Heartbleed影响？

近日据Re/code网站报道，苹果表示其移动、桌面和网页服务并未受到代号为“Heartbleed”（心脏出血）安全漏洞的影响。

苹果发言人表示：“苹果对网络安全问题，态度很严肃。iOS 和OS X系统中并没有存在漏洞的软件。苹果主要网页服务都未受到Heartbleed漏洞的影响。”

Heartbleed漏洞存在于OpenSSL库中，最早是由网页安全公司Codenomicon曝出。OpenSSL是一组编码软件，通常网页公司都使用它来保护用户信息。使用OpenSSL的网站会在用户网页浏览器地址栏左上角出现一个很小“Lock”图标。目前，有超过三分之二的网站都使用了OpenSSL。

自Heartbleed安全漏洞被发现后，主要互联网公司都抓紧时间发布补丁，来修补其网页服务中存在的漏洞。Facebook、谷歌和雅虎大型互联网公司都曾承认，其服务可能存在Heartbleed安全漏洞。安全专家提醒用户，要在可能受到Heartbleed漏洞影响的网站上，更新自己的密码。

此外，有些用户也开始使用密码管理工具如Lastpass，1Password以及苹果Safari浏览器中的密码生成工具来管理不同账号中所使用的不同密码，避免在所有账号中使用同一个密码。