iOS現(xiàn)應(yīng)用驗(yàn)證漏洞 可利用其劫持設(shè)備
責(zé)編:admin |2014-11-12 15:22:15網(wǎng)絡(luò)安全研究公司FireEye周一公布了iOS操作系統(tǒng)的一個(gè)應(yīng)用安裝驗(yàn)證漏洞。該公司稱之為“面具攻擊(Masque Attack)”。這一漏洞可以讓黑客對(duì)iPhone和iPad的敏感數(shù)據(jù)進(jìn)行訪問(wèn)或直接劫持這些設(shè)備并獲得控制權(quán)。FireEye公司在其博客上公布了有關(guān)細(xì)節(jié)。
為了實(shí)現(xiàn)“面具攻擊(Masque Attack)”,黑客首先要向用戶發(fā)送被感染的短信、電子郵件和網(wǎng)頁(yè)鏈接,誘使其安裝惡意應(yīng)用程序。一旦惡意應(yīng)用程序被安裝后,就可以接管通過(guò)蘋(píng)果應(yīng)用 商店安裝的所有應(yīng)用程序,包括電子郵件和銀行應(yīng)用。但是預(yù)裝的應(yīng)用,如Safari無(wú)法被更改。
該漏洞出現(xiàn)的原因是因?yàn)閕OS不強(qiáng)制驗(yàn)證具有相同“綁定標(biāo)識(shí)符(bundle identifier)”應(yīng)用程序的證書(shū)。這個(gè)漏洞存在于iOS7.1.1,7.1.2,8.0,8.1和8.1.1測(cè)試版之中,對(duì)于越獄和非越獄設(shè)備均適用。通過(guò)利用該漏洞進(jìn)行的攻擊可以竊取銀行和電子郵件登錄憑證或其他敏感數(shù)據(jù)。FireEye資深研究員在接受采訪表示,“這是一個(gè)非常強(qiáng)大的漏洞,很容易被利用。”
蘋(píng)果官方目前還沒(méi)有就此發(fā)表評(píng)論。但FireEye公司表示該公司代表七月時(shí)就已經(jīng)告知蘋(píng)果該漏洞,當(dāng)時(shí)蘋(píng)果表示他們正在努力修復(fù)。FireEye之所以決定現(xiàn)在公布這一漏洞,是因?yàn)樯现馨l(fā)現(xiàn)了第一個(gè)利用該漏洞的惡意軟件。該軟件被稱為WireLurker,會(huì)感染Mac電腦和iOS設(shè)備。FireEye目前不知道是否還有其他利用該漏洞進(jìn)行攻擊的惡意軟件。“目前WireLurker是唯一一個(gè),但我們應(yīng)該會(huì)發(fā)現(xiàn)更多。”
FireEye建議iOS用戶避免安裝來(lái)自非蘋(píng)果官方應(yīng)用商店的應(yīng)用程序,并且不要在彈出的第三方網(wǎng)頁(yè)上點(diǎn)擊“安裝”。
- 360助力“奧運(yùn)冠軍之城”七臺(tái)河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)