76款流行iOS应用易受中间人攻击，1800万用户受影响

安全研究员对iOS移动应用的研究发现，苹果应用商店中有很多流行iOS应用存在一个安全漏洞，可将用户暴露在中间人攻击的危险之中。

进行此次调查的是Sudo Security Group公司的verify.ly服务，verify.ly的安全专家通过对苹果 App Store应用二进制文件执行批量静态分析后发现了数百个安全问题，可能会将移动用户暴露在中间人攻击的危险之中。测试这些应用的iPhone手机系统为iOS 10，并最终确定有76款应用受影响。

76款应用，1800万用户受影响

该漏洞可能导致的危害有泄露用户敏感信息，包括金融服务账号密码、医疗服务账号密码、会话验证令牌等。粗略估计，大概有1800万用户可能会受到影响（有超过1800万用户下载了这些应用），可见危害程度之高。

测试中，我发现有76款流行的iOS应用可能会发生中间人攻击，攻击者可以利用iOS应用后端服务加密通信方式中的漏洞劫持用户信息。

verify.ly发布的报告可以简单总结为：

1. 有19个iOS应用被标记为高危，可能泄露用户敏感信息

2. 有24个iOS应用被标记为中危，可能会泄露用户登录凭证和会话验证令牌

3. 有33个iOS应用被标记为低危，攻击者可以利用漏洞劫持部分敏感信息，比如邮箱地址和登录凭证。

攻击条件是，攻击者只有在受害者无线网络范围内才能展开攻击。这种攻击条件其实很容易满足，比如在公共网络中，或者攻击者故意待在受害者住处，所以真正发生这种攻击的可能性会很大。