iOS9.2.1修復(fù)嚴(yán)重安全漏洞

2016年01月29日 86 亦強(qiáng)軟件 分類：iOS APP開發(fā)方案

?　iOS9.2.1已經(jīng)向用戶推送更新，這個僅有30多MB的版本更新并沒有帶來重要的新功能，但是卻解決了一個長達(dá)3年的安全漏洞。

　　在iOS上一直有一個關(guān)于登錄頁面未加密的問題，這個問題能夠讓黑客獲得網(wǎng)站的無加密身份認(rèn)證Cookie的讀寫權(quán)限，從而冒充終端用戶的身份。

　　iOS9

　　具體來說，在一些帶強(qiáng)制門戶的網(wǎng)絡(luò)(部分咖啡館、酒店、機(jī)場WiFi)的登錄界面，系統(tǒng)會通過未加密的HTTP連接顯示網(wǎng)絡(luò)使用條款，隨后嵌入瀏覽器會將未加密的Cookie分享給Safari瀏覽器。

　　這樣一來，如果黑客建立一個虛假的強(qiáng)制門戶并關(guān)聯(lián)至WiFi網(wǎng)絡(luò)，那么就可以利用這個漏洞來獲取設(shè)備上保存的任何未加密Cookie，從而獲得本機(jī)的權(quán)限。

　　這個漏洞在3年前被發(fā)現(xiàn)，在當(dāng)時也引起了一陣騷動，但是蘋果并沒有解決這個問題，時間長來大家也都忘了。但是在iOS9.2.1中，蘋果終于修復(fù)了這個漏洞，針對強(qiáng)制門戶采用了隔離的Cookie存儲方式來解決。?