ios8.2安全嗎？

ios8.2安全嗎?最近網(wǎng)上爆出了一個關(guān)于iOS的系統(tǒng)漏洞， 該漏洞可導(dǎo)致非越獄iOS設(shè)備的賬號、密碼等敏感信息被黑客所竊取， 而且在目前最新的iOS8.2版本中， 該漏洞仍未被修復(fù)。 由于該漏洞是系統(tǒng)漏洞， 因此影響所有iOS應(yīng)用， 其中包括支付寶等支付軟件。 對此， 騰訊手機管家安全專家表示， 該漏洞其實并非目前網(wǎng)傳的那么神秘， 這個關(guān)于iOS中URLScheme的漏洞， 其實很多業(yè)內(nèi)人士和技術(shù)開發(fā)人員都早已知曉， 但是由于產(chǎn)品的很多功能都要用到URLScheme， 因此很多人為了產(chǎn)品功能而不得不選擇繼續(xù)使用URLScheme。

　　手機安全專家分析漏洞原理

　　據(jù)手機安全專家表示， 這一漏洞利用了URLScheme。 相信URL Scheme 對于Launch Center Pro 、Workflow等 App 的用戶都不會陌生。 在iOS 中， 一個應(yīng)用可以將其自身綁定到一個自定義 URL Scheme 上， 該URL Scheme 用于從瀏覽器或其他應(yīng)用中啟動該應(yīng)用。

　　以使用美團+支付寶完成團購為例：用戶通過美團App選擇需要團購的內(nèi)容， 在進行支付時可以選擇支付寶完成支付。 在正常的情況下， 美團調(diào)用正常的URL Scheme 啟動支付寶， 在支付寶中完成密碼的輸入后， 由支付寶提交給服務(wù)器端進行驗證。 驗證通過后， 服務(wù)器返回正確信息， 支付寶 App 再調(diào)用 URL Scheme 返回給美團 App， 表明支付成功， 團購過程完成。 整個流程示意圖如下：

　　而iOS系統(tǒng)允許多個App 聲明同一個 URL Scheme， 卻沒有響應(yīng)的權(quán)限管理、校驗等機制進行保證。 漏洞作者經(jīng)過測試發(fā)現(xiàn)， 對于若干第三方 App 注冊同一個 URL Scheme， 順序和 Bundle ID 有關(guān)。 因此， 如果能找到合適的 Bundle ID， 使得調(diào)用時惡意應(yīng)用先于支付寶被調(diào)用， 則漏洞利用成功， 惡意應(yīng)用可以獲得用戶的賬戶和密碼信息。 此時黑客可以利用獲得的用戶信息正常完成支付過程。 流程示意圖如下：

　　防范漏洞有方法

　　對于該漏洞， 專業(yè)人士表示， 蘋果可以通過限制BundleID的濫用來保證 URL Scheme 的安全。 對于而第三方軟件而言， 則需要通過增加安全檢測， 例如檢測 URL Scheme 是否被劫持、獲得 URL Scheme 的處理順序等等來防止自身的URL Scheme 被劫持。

　　另外， 騰訊手機管家安全專家建議廣大用戶， 在蘋果官方未修復(fù)此漏洞之前， 盡量做到以下幾點：

　　首先， 不要安裝來歷不明的軟件， 特別是企業(yè)證書類軟件。

　　其次， 養(yǎng)成良好的下載APP的習慣， 選擇知名度較高的APP， 無論越獄與否盡可能都在AppStore下載。

　　最后， 越獄狀態(tài)下， 盡可能安裝手機安全軟件， 例如騰訊手機管家pro版， 對手機進行定時查殺病毒， 修復(fù)漏洞。