ios8.2安全嗎?最近網(wǎng)上爆出了一個(gè)關(guān)于iOS的系統(tǒng)漏洞， 該漏洞可導(dǎo)致非越獄iOS設(shè)備的賬號(hào)、密碼等敏感信息被黑客所竊取， 而且在目前最新的iOS8.2版本中， 該漏洞仍未被修復(fù)。 由于該漏洞是系統(tǒng)漏洞， 因此影響所有iOS應(yīng)用， 其中包括支付寶等支付軟件。 對(duì)此， 騰訊手機(jī)管家安全專家表示， 該漏洞其實(shí)并非目前網(wǎng)傳的那么神秘， 這個(gè)關(guān)于iOS中URLScheme的漏洞， 其實(shí)很多業(yè)內(nèi)人士和技術(shù)開發(fā)人員都早已知曉， 但是由于產(chǎn)品的很多功能都要用到URLScheme， 因此很多人為了產(chǎn)品功能而不得不選擇繼續(xù)使用URLScheme。

　　手機(jī)安全專家分析漏洞原理

　　據(jù)手機(jī)安全專家表示， 這一漏洞利用了URLScheme。 相信URL Scheme 對(duì)于Launch Center Pro 、Workflow等 App 的用戶都不會(huì)陌生。 在iOS 中， 一個(gè)應(yīng)用可以將其自身綁定到一個(gè)自定義 URL Scheme 上， 該URL Scheme 用于從瀏覽器或其他應(yīng)用中啟動(dòng)該應(yīng)用。

　　以使用美團(tuán)+支付寶完成團(tuán)購為例：用戶通過美團(tuán)App選擇需要團(tuán)購的內(nèi)容， 在進(jìn)行支付時(shí)可以選擇支付寶完成支付。 在正常的情況下， 美團(tuán)調(diào)用正常的URL Scheme 啟動(dòng)支付寶， 在支付寶中完成密碼的輸入后， 由支付寶提交給服務(wù)器端進(jìn)行驗(yàn)證。 驗(yàn)證通過后， 服務(wù)器返回正確信息， 支付寶 App 再調(diào)用 URL Scheme 返回給美團(tuán) App， 表明支付成功， 團(tuán)購過程完成。 整個(gè)流程示意圖如下：

　　而iOS系統(tǒng)允許多個(gè)App 聲明同一個(gè) URL Scheme， 卻沒有響應(yīng)的權(quán)限管理、校驗(yàn)等機(jī)制進(jìn)行保證。 漏洞作者經(jīng)過測(cè)試發(fā)現(xiàn)， 對(duì)于若干第三方 App 注冊(cè)同一個(gè) URL Scheme， 順序和 Bundle ID 有關(guān)。 因此， 如果能找到合適的 Bundle ID， 使得調(diào)用時(shí)惡意應(yīng)用先于支付寶被調(diào)用， 則漏洞利用成功， 惡意應(yīng)用可以獲得用戶的賬戶和密碼信息。 此時(shí)黑客可以利用獲得的用戶信息正常完成支付過程。 流程示意圖如下：

　　防范漏洞有方法

　　對(duì)于該漏洞， 專業(yè)人士表示， 蘋果可以通過限制BundleID的濫用來保證 URL Scheme 的安全。 對(duì)于而第三方軟件而言， 則需要通過增加安全檢測(cè)， 例如檢測(cè) URL Scheme 是否被劫持、獲得 URL Scheme 的處理順序等等來防止自身的URL Scheme 被劫持。

　　另外， 騰訊手機(jī)管家安全專家建議廣大用戶， 在蘋果官方未修復(fù)此漏洞之前， 盡量做到以下幾點(diǎn)：

　　首先， 不要安裝來歷不明的軟件， 特別是企業(yè)證書類軟件。

　　其次， 養(yǎng)成良好的下載APP的習(xí)慣， 選擇知名度較高的APP， 無論越獄與否盡可能都在AppStore下載。

　　最后， 越獄狀態(tài)下， 盡可能安裝手機(jī)安全軟件， 例如騰訊手機(jī)管家pro版， 對(duì)手機(jī)進(jìn)行定時(shí)查殺病毒， 修復(fù)漏洞。