信息剽窃者的温床,iOS 惊爆 Masque Attack 漏洞

移动开发
近日,网络安全公司 FireEye 公布一个被称为“Masque Attack”的 iOS 系统漏洞,攻击者可以通过短信、电子邮件和网页链接诱使 iPhone 和 iPad 用户安装恶意应用程序,然后利用这一漏洞将恶意应用植入用户设备,代替已有的应用程序从而获取用户的银行账户、电子邮件账户等敏感数据,除此之外他们甚至还可以利用这一漏洞获得这些设备的控制权。

近日,网络安全公司 FireEye 公布一个被称为“Masque Attack”的 iOS 系统漏洞,攻击者可以通过短信、电子邮件和网页链接诱使 iPhone 和 iPad 用户安装恶意应用程序,然后利用这一漏洞将恶意应用植入用户设备,代替已有的应用程序从而获取用户的银行账户、电子邮件账户等敏感数据,除此之外他们甚至还可以利用这一漏洞获得这些设备的控制权。

而且除了短信、电子邮件和网页链接之外,第三方市场也成为了黑客利用这一漏洞的重要场所之一,因为这些第三方市场并没有像苹果商店那样严格的审核标准,所以攻击者更有可能利用这点传播这些恶意应用程序。

FireEye 公司指出,Masque Attack 出现的原因是因为 iOS 系统不强制验证具有相同“绑定标识符”应用程序的证书,换言之,也就是说只要有一个应用拥有与其它应用相同的绑定标识符,它就可以覆盖另一个应用,这也是为什么攻击者需要在被攻击者设备中植入恶意应用的原因。

FireEye 还表示,他们已经在 7 月 26 日时向苹果提交了这一漏洞,之所以选择在现在公布主要是因为他们发现之前在 Mac 和 iOS 平台上蔓延恶意应用 WireLurker 与此漏洞有关。

碰巧的是此前安全研究员 Jonathan Zdziarski 也曾在博客上表示,iOS 的配对机制是滋生恶意应用的罪魁祸首,因为它可以让更复杂的变种软件轻易在苹果设备上蔓延。从他所给出的解释来看,WireLurker 的攻击方式与利用 Masque Attack 的攻击机理相同。

目前苹果已经及时阻止了 WireLurker 的扩散,不过据安全公司 Palo Alto Networks 的数据显示,在苹果阻止之前已有 467 个被感染的应用在最近的 6 个月内被下载达到了 356104 次,并且影响到成千上万的用户。鉴于并未有消息指出苹果已经修复这个漏洞,所以在未来一段时间可能会有更多类似的攻击。

不过虽然 Masque Attack 漏洞的影响十分大,但是它也并非无法避免。因为它主要依靠恶意应用来获取用户信息,所以 iOS 用户只需避免安装来自非苹果官方应用商店的应用程序,且不要在弹出的第三方网页上安装应用程序即可。

责任编辑:chenqingxiang 来源: 吴翘楚
相关推荐

2009-02-17 13:44:57

短信漏洞N73短信门

2024-01-31 09:38:42

2010-07-13 21:23:32

软件安全安全漏洞

2014-11-13 09:57:43

2014-04-11 11:06:54

OpenSSLOpenSSL漏洞华三

2016-08-29 21:09:32

2014-11-06 09:52:33

2011-08-31 15:40:48

VMworldVMwareAppBlast

2010-08-09 10:54:01

2009-04-13 08:36:36

微软Windows 7操作系统

2009-12-04 19:29:33

2020-03-26 16:31:28

漏洞MacOS蓝牙漏洞

2014-03-24 09:53:02

2024-05-17 10:10:59

Web容器Undertow

2013-11-18 09:35:38

信息泄露QQ微信

2021-03-09 09:06:33

PythonBug漏洞

2012-05-14 13:30:20

iMapiOS 6

2021-01-26 16:44:36

Facebook漏洞双因素认证

2012-12-27 15:05:19

2011-01-21 13:26:04

webOS平板
点赞
收藏

51CTO技术栈公众号