一位來自Google開發(fā)人員幫助蘋果公司找出了Apple App Store上一直未被修復(fù)的漏洞，多年來此漏洞允許攻擊者竊取密碼或安裝不必要的或非常昂貴的應(yīng)用程序，此漏洞還可以讓攻擊者劫持連接，當Iphone或其他移動設(shè)備連接到Apple App Store時，蘋果沒有對這一過程使用加密。

研究人員Elie Bursztein在博客上透露：去年的7月他已經(jīng)通知蘋果并反饋了很多安全問題,但是蘋果只開啟了對Apple App Store的HTTPS加密。

當攻擊者發(fā)現(xiàn)在同一網(wǎng)絡(luò)上有正在使用應(yīng)用商店的用戶。攻擊者就可以攔截目標設(shè)備和App Store之間的通信，并插入自己的命令（commands）。

惡意用戶可以利用不安全的連接進行各種各樣的攻擊，竊取密碼，強迫別人購買一個應(yīng)用程序，交換不同的應(yīng)用程序，受害者實際上是取得了一個假冒的應(yīng)用程序更新，這個偽造程序會被強制顯示在App Store的應(yīng)用列表中。

Elie Bursztein 發(fā)布了有關(guān)此漏洞的視頻：