之前我們講過有關 WireLurker 的龐大漏洞,無需 iOS 便可以中招,而且肆虐中國六個月,結果獲廣泛報導。福無重至,禍不單行,即使蘋果堵塞這個漏洞,但事隔一個星期之後,再有保安公司發現更多的漏洞,而且一樣無需 JB 也可以感染。
保安公司 FireEye 最近發現名為 Masque Attack 的惡意軟件。這個軟件漏洞會透過非 App Store 安裝的假應用程式感染 iOS 裝置。不像 WireLurker 般無圖無真相,這次他們透過 Mac Rumors 網站真的提供影片透露攻擊過程,首先他們是透過短訊傳送應用程式的下載連結,然後攻擊者會利用開發者的模式下載和安裝的方法,就像免 JB iOS 模擬器一樣,把惡意軟件安裝到手機之中,而且會透過舊版的合法 iOS 應用程式改裝,影片中是 Gmail,但可以利用其他應用程式假扮,因為驗證號碼一樣所以難以察覺。如果不如就裡打開這個應用程式,而且輸入電郵地址和密碼的話,最終這個惡意軟件把你電郵、聯絡人資料傳送到攻擊者之中。
[youtube http://www.youtube.com/watch?v=76ogdpbBlsU]
由於這些惡意軟件可以假扮其他 iOS 應用程式,你可能安裝了也未有發覺,而且因為安裝方法像免 JB iOS 模擬器一樣,沒有 JB 的裝置包括 iOS 7.1.1 以上的,也可以受感染,危險程度不下於之前公開的 WireLurker。不過大家不需要擔心的是,發現漏洞的公司已經在 7 月 26 日把漏洞通知蘋果,蘋果估計已經之前更新中堵塞。
Comments are closed.