蘋果iOS漏洞 多數裝置恐遭駭

網路安全研究員警告，蘋果公司（Apple Inc）iOS作業系統安全漏洞讓大部分iPhone、iPad和iPod touch易受網路攻擊，駭客可取得敏感資料和控制裝置。

網路安全公司FireEye Inc今天在部落格發布安全漏洞的細節，指出駭客以問題簡訊、電郵和網頁連結說服使用者安裝惡意應用程式（app），就可透過漏洞進入裝置。

惡意app可用來取代透過蘋果App Store安裝的電郵和銀行程式等真正可信賴的app，FireEye稱這是惡意軟體用的「假面攻擊」（Masque Attack）手法。

根據FireEye，這些攻擊可竊取銀行和電郵登入機密資料或其他敏感資料。

FireEye高級研究科學家陶偉（Tao Wei，音譯）受訪時表示：「這是威力十足的漏洞，很容易被利用。」

網路騙子會誘騙蘋果裝置使用者安裝受歡迎行動遊戲等現有app更新。

根據FireEye，使用者不但沒有更新app，反而安裝了模仿並取代合法程式的app，將使用者輸入的資料寄給駭客。

FireEye表示，數個月前就告知蘋果這個安全漏洞，蘋果也在極力搶修。民眾可以透過只在蘋果官方線上App Store安裝或更新app來避免問題。

研究員建議，不要按下第三方網頁跳出的「安裝」提示。如果在蘋果裝置打開app，跳出「不可信賴App開發者」的訊息警告，應該立即刪除這個app。

iOS出現假面攻擊漏洞：你的app就是駭客的app

FireEye將此類攻擊手法命名為「假面攻擊」（Masque Attack），其機制主要是利用iOS未針對bundle identifier相同的兩款應用執行憑證比對的系統漏洞，駭客可以透過無線網路或USB進行攻擊。目前安全研究人員在 iOS 7.1.1、7.1.2、8.0、8.1及8.1.1 beta中都發現這個漏洞，不論裝置是否有越獄（jailbreak）都可能受到攻擊。FireEye指出，已有證據顯示問題開始蔓延，而為了防患未然，決定有必要公佈這個漏洞。

iOS 7用戶可以到設定（Settings）-->一般 （General） --> 資料匣（Profiles）檢查「供應描述檔」（PROVISIONING PROFILES）確認是否遭遇假面攻擊。FireEye也呼籲使用者，不要從App Store官網以及公司內部之外的地方安裝程式，不要點選任何第三方網站所跳出的程式安裝訊息。看到iOS跳出「不受信任的應用開發者」（Untrusted App Developer）警告時要立即按下「不信任」（Don’t Trust）並移除該程式。

是喔～以問題簡訊、電郵和網頁連結說服使用者安裝惡意應用程式（app）？如果有這種玩意的話，應該要趕緊寄給我瞧瞧！