最近,安全人员在苹果公司的App Store和iTunes发票系统中发现了一个重大漏洞。利用这个安全漏洞,黑客可以劫持会话,并且恶意操控发票。
Vulnerability Lab的安全人员最近发现了这个漏洞,属于应用端输入验证Web漏洞,通过这个漏洞远程攻击者可以向存在缺陷的内容功能和服务模块中注入恶意脚本代码。更换恶意脚本代码,控制发票模块中的name值。
如果你的设备在苹果店内购买,那么利用name值将其编码添加操控条件,就可以在发票发送之前生成发票,网络攻击者还可以通过持续的操作环境与其他苹果应用商店用户的账号互动来控制这个漏洞,不管这些用户是发送方还是接收方都不会影响他们利用这个漏洞。该漏洞的严重性评级为CVSS 5.8。
尽管看上去这个漏洞的影响比较片面,但后续拓展可能性非常高,如果被不法分子利用将导致严重问题。
