转载

安全漏洞影响2.5万iOS应用？AFNetworking维护者发布回应

日前，一则关于著名的iOS网络通信库AFNetworking曝安全漏洞影响2.5万iOS应用的消息铺天盖地而来，有1000多种应用程序被指称，由于SSL存在Bug，导致这些应用程序容易遭到攻击。对此，由Mattt Thompson一手创立的Alamofire Software Foundation在GitHub上对于AFNetworking曝SSL漏洞引发的众多担忧进行了回应，以下为全文：

背景信息

就此事，对于不熟悉AFNetworking的人，这里有一些与其相关的细节需要了解：

AFNetworking 是一个第三方开源库，置于苹果内置框架之上，允许开发者向iOS和OS X应用添加网络功能。
AFSecurityPolicy是AFNetworking的组件之一，可根据应用程序设置的规则处理验证挑战（authentication challenge），包括通过HTTPS连接时，对服务端返回的 X.509 证书的评估。
证书锁定（certificate pinning）是一项信息安全技术，它在标准TLS评估的基础上做了改进，通过服务器显式地发送证书来匹配包含在客户端的凭证（credentials）。AFNetworking从版本1.2.0 开始一直提供证书锁定技术。
中间人攻击（Man-in-the-Middle Attack, MitM）是在客户端和服务器之间插入攻击者本身，使两边都认为自己和对方在直接通信。
这样的一种攻击方式在客户端和服务器之间会涉及某个不可信的Wi-Fi接入点。没有对响应进行恰当地验证，攻击者就可以拦截通讯信息，用户凭证或其他敏感信息因而会遭到泄露。

AFNetworking官方文档强烈建议应用程序要通过HTTPS进行通信，并且使用证书或公钥锁定技术来弱化MitM这种攻击行为。工程中所包含的示例代码遵循了这些建议，在应用程序中展示了证书锁定的使用方式。

事件回放

2015年2月12日， AFNetworking 2.5.1 发布。这一版本包含了一个补丁，修改了证书的安全策略验证方式，将SSLPinningMode修改为AFSSLPinningModeNone。验证挑战过程中，服务器的证书默认是不会被验证的，除非客户端存在与众不同的配置行为，比如使用SSL pinning这样的证书绑定技术。
2015年3月12日，我们从这个 GitHub Issue 开始意识到上述的修改行为所造成的影响。
2015年3月26日，来自Minded Security Research的Simone Bovi和Mauro Gentile发表了一篇博文，详细说明了AFNetworking 2.5.1潜在的MitM方面的漏洞。
同样在2015年3月26日， AFNetworking 2.5.2 发布。这个版本恢复了先前的证书安全策略评估方式。如果安全策略将validatesDomainName设置为YES，那么SSLPinningMode将会被修改为AFSSLPinningModeNone。
2015年4月20日， AFNetworking 2.5.3 发布了，该版本做了额外的修改。对所有的安全策略默认设置validatesDomainName为YES。
2015年4月21日， GitHub上新开了一个Issue ，要求完善AFNetworking的文档和与安全相关的功能特性。我们正就此积极努力地对参考材料做全面彻底的修改。
还是在2015年4月20日，来自SourceDNA的Nate Lawson发表了一篇博文，宣称某个工具可以识别苹果商店中使用了AFNetworking2.5.1的应用程序。包括来自 Ars Technica 的Dan Goodin在内的许多记者，在其公布的文章中都引用了该博文并提及了博文的作者。这些公开发布的内容都没有就AFNetworking维护人员的解决方案进行整理而置评。
2015年4月24日，SourceDNA在其后续发布的博文中声称，存在更多带有安全漏洞的应用程序，来自Ars Technica的Dan Goodin随后也发表了一篇带有相同效果的文章。需要强调的是，没有任何一篇公开发表的文章对AFNetworking维护人员的解决方案进行整理而置评。