iOS安全漏洞讓iPhone、iPad和iPod touch易受網路攻擊、取得敏感資料

蘋果iOS漏洞 多數裝置恐遭駭

網路安全研究員警告,蘋果公司(Apple Inc)iOS作業系統安全漏洞讓大部分iPhone、iPad和iPod touch易受網路攻擊,駭客可取得敏感資料和控制裝置。

網路安全公司FireEye Inc今天在部落格發布安全漏洞的細節,指出駭客以問題簡訊、電郵和網頁連結說服使用者安裝惡意應用程式(app),就可透過漏洞進入裝置。

惡意app可用來取代透過蘋果App Store安裝的電郵和銀行程式等真正可信賴的app,FireEye稱這是惡意軟體用的「假面攻擊」(Masque Attack)手法。

根據FireEye,這些攻擊可竊取銀行和電郵登入機密資料或其他敏感資料。

FireEye高級研究科學家陶偉(Tao Wei,音譯)受訪時表示:「這是威力十足的漏洞,很容易被利用。」

網路騙子會誘騙蘋果裝置使用者安裝受歡迎行動遊戲等現有app更新。

根據FireEye,使用者不但沒有更新app,反而安裝了模仿並取代合法程式的app,將使用者輸入的資料寄給駭客。

FireEye表示,數個月前就告知蘋果這個安全漏洞,蘋果也在極力搶修。民眾可以透過只在蘋果官方線上App Store安裝或更新app來避免問題。

研究員建議,不要按下第三方網頁跳出的「安裝」提示。如果在蘋果裝置打開app,跳出「不可信賴App開發者」的訊息警告,應該立即刪除這個app。

iOS出現假面攻擊漏洞:你的app就是駭客的app

FireEye將此類攻擊手法命名為「假面攻擊」(Masque Attack),其機制主要是利用iOS未針對bundle identifier相同的兩款應用執行憑證比對的系統漏洞,駭客可以透過無線網路或USB進行攻擊。目前安全研究人員在 iOS 7.1.1、7.1.2、8.0、8.1及8.1.1 beta中都發現這個漏洞,不論裝置是否有越獄(jailbreak)都可能受到攻擊。FireEye指出,已有證據顯示問題開始蔓延,而為了防患未然,決定有必要公佈這個漏洞。

iOS 7用戶可以到設定(Settings)-->一般 (General) --> 資料匣(Profiles)檢查「供應描述檔」(PROVISIONING PROFILES)確認是否遭遇假面攻擊。FireEye也呼籲使用者,不要從App Store官網以及公司內部之外的地方安裝程式,不要點選任何第三方網站所跳出的程式安裝訊息。看到iOS跳出「不受信任的應用開發者」(Untrusted App Developer)警告時要立即按下「不信任」(Don’t Trust)並移除該程式。


是喔~以問題簡訊、電郵和網頁連結說服使用者安裝惡意應用程式(app)?如果有這種玩意的話,應該要趕緊寄給我瞧瞧!

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏