Apple也許認為為安全證書漏洞發(fā)布一個安全補丁只是一件小事，但是安全軟件卻不這樣認為。由于一款公之于眾的應用也同步升級后，這個漏洞更容易被利用，能輕松截獲iOS設備傳輸?shù)臄?shù)據(jù)流。這款軟件是SSLSniff,于周一也同步升級，現(xiàn)在已能攔截未打安全補丁的iOS設備通信數(shù)據(jù)。

[[38088]]

Sophos的Chester Wisniewski在周二的博客中稱這個補丁是“絕對必需”的。任何一個使用iOS設備哪怕只是打電話也要應用這個補丁。這個安全漏洞在各個版本中均存在，iGSM設備使用的iOS 4.3.4,CDMA設備使用的4.2.9以及更老的設備，iOS5所有測試版均存在這一漏洞。

iOS安全證書系統(tǒng)存在缺陷，這導致了一個安全漏洞。本來，它只是允許從證書頒發(fā)機構(gòu)購買的有效證書可以簽證其他任何證書。但是iOS卻錯誤地認為證書是有效的，這就意味著一個攻擊者可以愚弄一臺設備從而允許他或她來進行一個有效的網(wǎng)絡連接。

Wisniewski在博客中寫道，“這就允許任何人可以使用第三方技術(shù)截取來自你的iPhone、iPad或者iPod Touch的信息流，并且可以秘密讀取所有加密的SSl信息，而用戶完全不知情。”

對于那些經(jīng)常使用公共Wi-Fi熱點的人來說，這個是黑客最容易竊取未打補丁的iOS設備信息的地方。如果你有第一代iPhone或者iPhone 3G或者一代、二代的iPod touch,這個安全問題在蘋果尚未提供設備升級的情況下暫時無法修復。

這也意味著一旦這些設備在使用，那么黑客就有機會竊取別人的數(shù)據(jù)。Recurity實驗室的安全專家已經(jīng)建立了一個網(wǎng)站https://issl.recurity.com,iOS用戶可以使用他們的設備來隨時查看他的設備是否有這個漏洞。