資訊剽竊者的溫床,iOS 驚爆 Masque Attack 漏洞
近日,網路安全公司 FireEye 公佈一個被稱為「Masque Attack」的 iOS 系統漏洞,攻擊者可以通過短信、電子郵件和網頁連結誘使 iPhone 和 iPad 使用者安裝惡意應用程式,然後利用這一漏洞將惡意應用植入使用者設備,代替已有的應用程式從而獲取使用者的銀行帳戶、電子郵件帳戶等敏感性資料,除此之外他們甚至還可以利用這一漏洞獲得這些設備的控制權。
而且除了短信、電子郵件和網頁連結之外,協力廠商市場也成為了駭客利用這一漏洞的重要場所之一,因為這些協力廠商市場並沒有像蘋果商店那樣嚴格的審核標準,所以攻擊者更有可能利用這點傳播這些惡意應用程式。
FireEye 公司指出,Masque Attack 出現的原因是因為 iOS 系統不強制驗證具有相同「綁定識別碼」應用程式的證書,換言之,也就是說只要有一個應用擁有與其它應用相同的綁定識別碼,它就可以覆蓋另一個應用,這也是為什麼攻擊者需要在被攻擊者設備中植入惡意應用的原因。
FireEye 還表示,他們已經在 7 月 26 日時向蘋果提交了這一漏洞,之所以選擇在現在公佈主要是因為他們發現之前在 Mac 和 iOS 平臺上蔓延惡意應用 WireLurker 與此漏洞有關。
碰巧的是此前安全研究員 Jonathan Zdziarski 也曾在博客上表示,iOS 的配對機制是滋生惡意應用的罪魁禍首,因為它可以讓更複雜的變種軟體輕易在蘋果設備上蔓延。從他所給出的解釋來看,WireLurker 的攻擊方式與利用 Masque Attack 的攻擊機理相同。
目前蘋果已經及時阻止了 WireLurker 的擴散,不過據安全公司 Palo Alto Networks 的資料顯示,在蘋果阻止之前已有 467 個被感染的應用在最近的 6 個月內被下載達到了 356104 次,並且影響到成千上萬的使用者。鑒於並未有消息指出蘋果已經修復這個漏洞,所以在未來一段時間可能會有更多類似的攻擊。
不過雖然 Masque Attack 漏洞的影響十分大,但是它也並非無法避免。因為它主要依靠惡意應用來獲取使用者資訊,所以 iOS 使用者只需避免安裝來自非蘋果官方應用商店的應用程式,且不要在彈出的協力廠商網頁上安裝應用程式即可。
題圖來自 foxbusiness
資料來源:愛範兒(ifanr)
作者/編輯:吳翹楚