一位來(lái)自Google開(kāi)發(fā)人員幫助蘋果公司找出了Apple App Store上一直未被修復(fù)的漏洞，多年來(lái)此漏洞允許攻擊者竊取密碼或安裝不必要的或非常昂貴的應(yīng)用程序，此漏洞還可以讓攻擊者劫持連接，當(dāng)Iphone或其他移動(dòng)設(shè)備連接到Apple App Store時(shí)，蘋果沒(méi)有對(duì)這一過(guò)程使用加密。

研究人員Elie Bursztein在博客上透露：去年的7月他已經(jīng)通知蘋果并反饋了很多安全問(wèn)題,但是蘋果只開(kāi)啟了對(duì)Apple App Store的HTTPS加密。

當(dāng)攻擊者發(fā)現(xiàn)在同一網(wǎng)絡(luò)上有正在使用應(yīng)用商店的用戶。攻擊者就可以攔截目標(biāo)設(shè)備和App Store之間的通信，并插入自己的命令（commands）。

惡意用戶可以利用不安全的連接進(jìn)行各種各樣的攻擊，竊取密碼，強(qiáng)迫別人購(gòu)買一個(gè)應(yīng)用程序，交換不同的應(yīng)用程序，受害者實(shí)際上是取得了一個(gè)假冒的應(yīng)用程序更新，這個(gè)偽造程序會(huì)被強(qiáng)制顯示在App Store的應(yīng)用列表中。

Elie Bursztein 發(fā)布了有關(guān)此漏洞的視頻：