iOS每个新版本出现都会引起一阵骚动,尤其是当安全人员发现新龙洞或者BUG的时候,之前的iCloud裸照事件令人们再一次对苹果的安全产生了质疑。最近网络安全公司FireEye公布了一项新的iOS漏洞“面具攻击”。
根据描述,这个漏洞可以让黑客对iPhone和iPad的敏感数据进行访问或直接劫持这些设备并获得控制权。了实现“面具攻击(Masque Attack)”,黑客首先要向用户发送被感染的短信、电子邮件和网页链接,诱使其安装恶意应用程序。一旦恶意应用程序被安装后,就可以接管通过苹果应用商店安装的所有应用程序,包括电子邮件和银行应用。但是预装的应用,如Safari无法被更改。
该漏洞出现的原因是因为iOS不强制验证具有相同“绑定标识符(bundle identifier)”应用程序的证书。这个漏洞存在于iOS7.1.1,7.1.2,8.0,8.1和8.1.1测试版之中,对于越狱和非越狱设备均适用。FireEye表示,“这是一个非常强大的漏洞,很容易被利用。”
苹果官方目前还没有就此发表评论。但FireEye公司表示该公司代表七月时就已经告知苹果该漏洞,当时苹果表示他们正在努力修复。FireEye之所以决定现在公布这一漏洞,是因为上周发现了第一个利用该漏洞的恶意软件——WireLurker,会感染Mac电脑和iOS设备。
(举报)