App Store超千款遊戲和應用存在安全漏洞

一傢行業領先的網絡安全公司發佈研究報告稱,蘋果應用商店有超過1000款應用程序存在安全漏洞,容易受到黑客的攻擊。

一款名為JSPatch的用於幫助開發者修改應用程序的軟件,存在一個安全漏洞,這使得它很容易成為黑客的攻擊目標。這個安全漏洞相當於在設備上留瞭一個後門。一旦黑客發現和利用這個後門,他們就能夠訪問到設備中的照片、麥克風和剪貼板數據以及其他涉及個人隱私的功能。

4

該漏洞是網絡安全公司FireEye發現的。該公司稱,在蘋果iOS應用商店中有1220款應用程序可能會受到影響。

“狡猾的攻擊者可能會先編寫一款合法的、沒有惡意的應用程序,然後提交蘋果應用商店審核。一旦它通過審核,正式進入蘋果應用商店,它就能夠給設備發送非法的、惡意的指令。”FireEye公司新興科技主管喬希?高德法佈(Josh Goldfarb)說。

開源工具JSPatch給瞭開發者更大的自主權,但卻不符合蘋果試圖堅持的安全標準。

JSPatch並不是惡意軟件,但是它的安全漏洞一旦被人利用,用戶設備裡的數據,甚至是用戶允許該軟件訪問的其他應用程序,就很容易遭到非法入侵。

如果這款軟件可以訪問Apple Pay或其他移動錢包,那麼問題就會變得非常嚴重瞭。

FireEye公司並未指明哪些應用程序是用JSPatch開發的,但是它重申蘋果應用商店中已有1000多款應用程序受到影響。

高德法佈給擔心惡意應用程序的iOS用戶提供瞭一些安全方面的建議。

“我們的建議是:僅下載你需要的、你瞭解的和你相信的應用程序。”他說,“提防那些不斷向你提出請求並要求你批準的應用程序,隻批準那些必要的請求。”

這並不是安全漏洞第一次出現在蘋果的“封閉式花園”中。盡管如此,蘋果的應用商店仍然要比谷歌(微博)應用商店Google Play安全得多。

在去年9月,數百款iPhone應用程序被發現感染惡意程序XcodeGhost。這算得上是蘋果應用商店遭到的第一次較大的攻擊。蘋果當時立即行動,撤下瞭幾款應用程序。

在被“越獄”的iOS設備中,這種攻擊就常見得多。

“攻擊者們一直在尋找進入蘋果封閉式花園的途徑。”FireEye公司的首席技術官佈萊斯?博蘭(Bryce Boland)說。

FireEye公司與《福佈斯》雜志全球2000強企業中的650傢企業均建立有合作關系。它預計,針對移動設備的惡意攻擊還會增加。

“移動設備是攻擊者比較青睞的攻擊目標,因為相對於筆記本電腦和臺式電腦來說,它們的安全防護措施比較薄弱。”高德法佈說,“我們將會看到移動環境下的惡意攻擊越來越多。哪裡有銅臭味,攻擊者就會飛向哪裡。因此,我們將會看到更多針對移動設備的攻擊。”

from:FireEye

Comments are closed.