Apple也許認(rèn)為為安全證書漏洞發(fā)布一個(gè)安全補(bǔ)丁只是一件小事，但是安全軟件卻不這樣認(rèn)為。由于一款公之于眾的應(yīng)用也同步升級(jí)后，這個(gè)漏洞更容易被利用，能輕松截獲iOS設(shè)備傳輸?shù)臄?shù)據(jù)流。這款軟件是SSLSniff,于周一也同步升級(jí)，現(xiàn)在已能攔截未打安全補(bǔ)丁的iOS設(shè)備通信數(shù)據(jù)。

[[38088]]

Sophos的Chester Wisniewski在周二的博客中稱這個(gè)補(bǔ)丁是“絕對(duì)必需”的。任何一個(gè)使用iOS設(shè)備哪怕只是打電話也要應(yīng)用這個(gè)補(bǔ)丁。這個(gè)安全漏洞在各個(gè)版本中均存在，iGSM設(shè)備使用的iOS 4.3.4,CDMA設(shè)備使用的4.2.9以及更老的設(shè)備，iOS5所有測(cè)試版均存在這一漏洞。

iOS安全證書系統(tǒng)存在缺陷，這導(dǎo)致了一個(gè)安全漏洞。本來，它只是允許從證書頒發(fā)機(jī)構(gòu)購(gòu)買的有效證書可以簽證其他任何證書。但是iOS卻錯(cuò)誤地認(rèn)為證書是有效的，這就意味著一個(gè)攻擊者可以愚弄一臺(tái)設(shè)備從而允許他或她來進(jìn)行一個(gè)有效的網(wǎng)絡(luò)連接。

Wisniewski在博客中寫道，“這就允許任何人可以使用第三方技術(shù)截取來自你的iPhone、iPad或者iPod Touch的信息流，并且可以秘密讀取所有加密的SSl信息，而用戶完全不知情。”

對(duì)于那些經(jīng)常使用公共Wi-Fi熱點(diǎn)的人來說，這個(gè)是黑客最容易竊取未打補(bǔ)丁的iOS設(shè)備信息的地方。如果你有第一代iPhone或者iPhone 3G或者一代、二代的iPod touch,這個(gè)安全問題在蘋果尚未提供設(shè)備升級(jí)的情況下暫時(shí)無法修復(fù)。

這也意味著一旦這些設(shè)備在使用，那么黑客就有機(jī)會(huì)竊取別人的數(shù)據(jù)。Recurity實(shí)驗(yàn)室的安全專家已經(jīng)建立了一個(gè)網(wǎng)站https://issl.recurity.com,iOS用戶可以使用他們的設(shè)備來隨時(shí)查看他的設(shè)備是否有這個(gè)漏洞。