美國政府警告 iOS 用戶小心提防高危漏洞“假面攻擊”
責編:admin |2014-11-14 20:23:54美國政府今天發布通告,提醒 iPhone 和 iPad 用戶提放最近被發現的高危安全漏洞“假面攻擊(Masque Attack)”。假面攻擊安全漏洞本周一被發現,可以通過 iOS 企業配置文件將惡意第三方軟件直接安裝至 iOS 設備,并替代各種真正的第三方軟件。該通告來自國家網絡安全和通信集成中心和美國計算機應急準備小組,介紹了假面攻擊如何傳播——誘使用戶通過釣魚鏈接安 裝非信任的應用。
安裝至 iOS 設備的惡意軟件可能會:
-模仿原有應用的登陸界面并盜取受害者的登陸信息。
-訪問本地數據緩存中的敏感信息。
-執行后臺任務,監控用設備。
-獲得 iOS 設備 Root 權限。
-無法與真正的第三方應用區別。
美國政 府的通告建議 iOS 用戶不要從 App Store 之外的來源安裝應用,避免點擊在查看網頁時出現的“安裝”按鈕。顯示“不受信任的應用開發者”時,點擊“不要信任”。政 府發布計算機安全警告非常罕見,在2014年只出現過13次。其他安全漏洞提醒包括心臟出血(Heartbleed)等。
發現“假面攻擊”安全漏洞的安全團隊 FireEye 已經通知蘋果,不過目前 iOS 8.1.1 測試版還未修復該漏洞。此外,假面攻擊還影響 iOS 7.1.1、7.1.2、8.0 和 8.1。目前,蘋果還沒有對假面攻擊做出評論。假面攻擊和早些時候被發現的 WireLurker 都會長期影響 iOS 用戶,兩款惡意軟件都利用了 iOS 設備企業配置文件可以任意安裝應用的漏洞。