ios8.2安全吗？

ios8.2安全吗?最近网上爆出了一个关于iOS的系统漏洞， 该漏洞可导致非越狱iOS设备的账号、密码等敏感信息被黑客所窃取， 而且在目前最新的iOS8.2版本中， 该漏洞仍未被修复。 由于该漏洞是系统漏洞， 因此影响所有iOS应用， 其中包括支付宝等支付软件。 对此， 腾讯手机管家安全专家表示， 该漏洞其实并非目前网传的那么神秘， 这个关于iOS中URLScheme的漏洞， 其实很多业内人士和技术开发人员都早已知晓， 但是由于产品的很多功能都要用到URLScheme， 因此很多人为了产品功能而不得不选择继续使用URLScheme。

　　手机安全专家分析漏洞原理

　　据手机安全专家表示， 这一漏洞利用了URLScheme。 相信URL Scheme 对于Launch Center Pro 、Workflow等 App 的用户都不会陌生。 在iOS 中， 一个应用可以将其自身绑定到一个自定义 URL Scheme 上， 该URL Scheme 用于从浏览器或其他应用中启动该应用。

　　以使用美团+支付宝完成团购为例：用户通过美团App选择需要团购的内容， 在进行支付时可以选择支付宝完成支付。 在正常的情况下， 美团调用正常的URL Scheme 启动支付宝， 在支付宝中完成密码的输入后， 由支付宝提交给服务器端进行验证。 验证通过后， 服务器返回正确信息， 支付宝 App 再调用 URL Scheme 返回给美团 App， 表明支付成功， 团购过程完成。 整个流程示意图如下：

　　而iOS系统允许多个App 声明同一个 URL Scheme， 却没有响应的权限管理、校验等机制进行保证。 漏洞作者经过测试发现， 对于若干第三方 App 注册同一个 URL Scheme， 顺序和 Bundle ID 有关。 因此， 如果能找到合适的 Bundle ID， 使得调用时恶意应用先于支付宝被调用， 则漏洞利用成功， 恶意应用可以获得用户的账户和密码信息。 此时黑客可以利用获得的用户信息正常完成支付过程。 流程示意图如下：

　　防范漏洞有方法

　　对于该漏洞， 专业人士表示， 苹果可以通过限制BundleID的滥用来保证 URL Scheme 的安全。 对于而第三方软件而言， 则需要通过增加安全检测， 例如检测 URL Scheme 是否被劫持、获得 URL Scheme 的处理顺序等等来防止自身的URL Scheme 被劫持。

　　另外， 腾讯手机管家安全专家建议广大用户， 在苹果官方未修复此漏洞之前， 尽量做到以下几点：

　　首先， 不要安装来历不明的软件， 特别是企业证书类软件。

　　其次， 养成良好的下载APP的习惯， 选择知名度较高的APP， 无论越狱与否尽可能都在AppStore下载。

　　最后， 越狱状态下， 尽可能安装手机安全软件， 例如腾讯手机管家pro版， 对手机进行定时查杀病毒， 修复漏洞。

关键词：ios8.2安全吗？