近日,網路安全公司 FireEye 公布一個被稱為「Masque Attack」的 iOS 系統漏洞,攻擊者可以通過簡訊、電子郵件和網頁連結誘使 iPhone 和 iPad 用戶安裝惡意應用軟體,然後利用這一漏洞將惡意軟體植入使用者的設備中,替代已有的應用軟體從而獲取用戶的銀行帳號、電子郵件帳號等敏感資料,除此之外他們甚至還可以利用這一漏洞獲得這些設備的控制權。
而且除了簡訊、電子郵件和網頁連結之外,第三方 App 市集也成為了駭客利用這一漏洞的重要場所之一,因為這些第三方市集並沒有像蘋果商店那樣嚴格的審核標準,所以攻擊者更有可能利用這點傳播這些惡意應用軟體。
FireEye 公司指出,Masque Attack 出現的原因是因為 iOS 系統不強制驗證具有相同「綁定 ID」應用程序的證書,換言之,也就是說只要有一個應用擁有與其它應用相同的綁定 ID,它就可以覆蓋另一個應用,這也是為什麼攻擊者需要在被攻擊者設備中植入惡意應用軟體的原因。
FireEye 還表示,他們已經在 7 月 26 日時向蘋果提交了這一漏洞,之所以選擇在現在公布主要是因為他們發現之前在 Mac 和 iOS 平台上蔓延惡意應用 WireLurker 與此漏洞有關。
碰巧的是先前安全研究員 Jonathan Zdziarski 也曾在部落格上表示,iOS 的配對機制是滋生惡意應用的罪魁禍首,因為它可以讓更複雜的變種軟體輕易在蘋果設備上蔓延。從他所給出的解釋來看,WireLurker 的攻擊方式與利用 Masque Attack 的攻擊機理相同。
目前蘋果已經及時阻止了 WireLurker 的擴散,不過據安全公司 Palo Alto Networks 的資料顯示,在蘋果阻止之前已有 467 個被感染的應用在最近的 6 個月內被下載達到了 356,104 次,並且影響到成千上萬的用戶。鑑於並未有消息指出蘋果已經修復這個漏洞,所以在未來一段時間可能會有更多類似的攻擊。
雖然 Masque Attack 漏洞的影響十分大,但是它也並非無法避免。因為它主要依靠惡意應用軟體來獲取用戶資料,所以 iOS 使用者只需避免安裝來自非蘋果官方應用商店的應用程序,且不要在彈出的第三方網頁上安裝應用程式即可。
延伸閱讀:
愛范兒
更多關於 愛范兒 的文章 (所有文章)
- 三星準備打造 VR 一體機,認為未來應該是全像影像互動 - 2016-04-28
- 三星 Gear Fit 2 智慧手環/藍牙耳機 IconX 實機照曝光 - 2016-04-27
- 微軟 Surface Phone 傳超強規格,8G RAM 驍龍 830 搭雲端服務 - 2016-04-27
