iOS 漏洞令 iPhone/iPad 淪為駭客攻擊對象
幾日前網路安全公司Palo Alto Networks公布了「Wirelurker」惡意程式可針對Mac進行攻擊,還能透過USB感染未越獄的iOS裝置的消息,讓許多蘋果使用者感到擔憂。而網路安全研究公司FireEye更進一步表示,Palo Alto Networks所發現的例子,就是駭客透過一個iOS長久以來的漏洞所進行的攻擊,FireEye公司也進一步公布了關於此iOS漏洞的細節。
FireEye表示,他們在一些網路安全專家以及駭客討論蘋果工系統系統漏洞的論壇中,發現這個iOS漏洞已開始被流傳。而FireEye也早在今年七月的時候,就已經向蘋果反應這個漏洞的存在,而蘋果也曾回應會努力修復。
FireEye指出,他們所發現的iOS漏洞作用如下。駭客可透過說服(或欺騙)使用者下載包含有毒內容、電子郵件以及網路連結的惡意程式,並透過此方法駭進使用者的設備。此後,駭客還可進一步偽裝透過蘋果App Store所安裝的真實應用程式,還可透過被FireEye稱為假面攻擊(Masque Attack)的方式安裝其他的惡意程式。
透過以上的攻擊,駭客可以借取使用者的電子郵件、銀行帳戶的登錄帳密,以及其他與使用者相關的敏感數據。根據FireEye的高級研究科學家指出,這是很強大的漏洞,且很容易被利用。
FireEye公司表示,之所以公布這項研究成果(因為公布研究成果即表示把訊息公開化,很有機會讓從未發現此漏洞的駭客得知此消息,並從而利用漏洞發動攻擊)是因為Palo Alto Networks公布的WireLurker惡意程式,便是利用此iOS漏洞的惡意攻擊。而目前還不清楚,是否此漏洞也被其他駭客所利用。根據FireEey高級研究科學家的說明,目前WireLurker只是唯一一個(利用此漏洞)被發現的惡意程式,但是他認為未來還會有更多。
此前針對Palo Alto Networks所提出的WireLurker惡意程式,蘋果曾經表示已阻擋感染該惡意程式的應用程式被啟動。然而對於FireEye公司所公布的這項消息,蘋果公司目前尚未有正式的回應。
FireEye表示他們所發現的這個iOS漏洞,存在於iOS 7.1.1、7.1.2、8.0、8.1以及8.1測試版本中,且越獄版本以及非越獄版本中都有。在蘋果尚未提出解決之道前,FireEye建議使用者僅能通過蘋果App Store來安裝應用程式(APP),並且不要點擊、下載從第三方網頁要跳出的「安裝」按鈕,以保護iOS裝置的安全!
(來源: chinatimes)
Comments are disabled