之前我們報道過有保安公司發現一個漏洞,能以一個假的應用程式取代真的應用程式安裝到 iOS 裝置之中,偷取個人資料,因為這個漏洞隨時中招也不知道,危險程度太高,美國政府竟然介入這個問題。
美國電腦緊急應變中心(United States Computer Emergency Readiness Team) 昨晚發出一份公告,引述之前有保安公司發現的 Masque Attack 的 iOS 惡意軟件漏洞,這個份公告詳細到列出這個惡意軟件安裝或透過更新取代原本應用程式之後產生的危害,包括假扮原本的應用程式偷取受害者的登入資料、讀取裝置內的敏感資料、在背後監察使用者的裝置、獲得根權限(同 JB 了沒有分別),以及漏洞可以從蘋果各項認證中隱藏。
按之前的報道提到,任何應用程式都可以用 Masque Attack 漏洞改裝和假扮,甚至以更新取代原本的應用程式,中了招你也不知道,即使蘋果已經收到這個漏洞報告並在更新中進行修正,但在公告中提到的解決方法,其實也不是太多,包括不要從 App Store 以外的應用程式市場下載 iOS 應用程式,不要在第三方網頁按下 Install 的按鈕,以後不要開啟不可信的應用開發者的應用程式並將其反安裝。至於這個漏洞如何侵入你的 iOS 裝置?之前保安公司也進行示範,讓大家可以了解到這個漏洞有多危險。
[youtube http://www.youtube.com/watch?v=76ogdpbBlsU]
Comments are closed.