軟件開發公司的iOS黑客有軍隊中的一句老話：“將軍們總是過去的戰爭，特別是如果他們已經贏得了它。“很簡單，這意味著在準備下一種威脅，我們應該抵制太密切在過去的戰爭中戰斗在不同時期有不同的技術和環境。盡管法國被侵占馬其諾防線–完美防御進一步侵略戰德國，但幾乎無用的反對二戰德國閃電戰。

 

所以它是應用程序的安全性。在網絡時代的早期，仍有很強的經典桌面漏洞如棧溢出和緩沖區溢出的恐懼?，F在，我們在移動應用的時代，世界的安全仍然停留在網絡安全領域。盡管事實上，它已經超過兩年以來的OWASP組發布10大漏洞移動一些開發商認為，移動安全測試他們的應用程序。

 

上周，研究人員發現尚未對iOS應用的另一個漏洞類型。通過一個中間人的方法，攻擊者可以欺騙一個iOS應用程序和API對惡意URL的Web通信，不是一次而是永遠的事實。Ars Technica有攻擊的細節，由安全組Skycure發現，但總結很簡單。

 

事實證明，許多iOS應用沒有強有力的保護免受惡意301重定向為API調用。301重定向是一個基本的網絡命令，說，“這東西不在了。它在那兒吧。”網絡的主人使用它時，將內容從一個地方到另一個環節的工作順利，即使內容的地址變了。但如果我能影響你的應用程序的通信，并說“你的API是真的在我的惡意服務器，然后我在理論上可以攔截或修改所使用的應用程序的內容。因為301碼信號的一個永久重定向，您的應用程序將繼續我已不再直接干預經過長時間的使用我的惡意服務器。

 

解決這個問題很簡單。確保你的應用程序使用SSL通信的明文代替。認為在這個時代，任何人都會使用加密API很奇怪，但這是很好的理由。通過將加密你的API的流量額外的步驟，你還要確保你的用戶只能看到正確的內容并沒有什么惡意或虛假。SSL證書是比較便宜的成本，軟件開發公司的應用程序因為安全問題失去信譽。