11月11日,網(wǎng)絡(luò)安全公司FireEye周一發(fā)布報(bào)告稱,蘋果iOS操作系統(tǒng)中存在的一個(gè)漏洞,能夠讓黑客通過(guò)攻擊,控制絕大多數(shù)的iPhone和iPad,并獲取到這些設(shè)備中的敏感數(shù)據(jù)。
FireEye周一在官方博客上公布了有關(guān)iOS漏洞的細(xì)節(jié)信息。該公司表示,iOS操作系統(tǒng)中的這一漏洞,能夠通過(guò)短信、電子郵件或鏈接,誘騙用戶安裝惡意應(yīng)用,從而黑客控制用戶的設(shè)備。
隨后,黑客可利用惡意應(yīng)用來(lái)取代通過(guò)蘋果應(yīng)用商店App Store安裝的真實(shí)、可信的應(yīng)用,如電子郵件和銀行應(yīng)用等,并通過(guò)FireEye所謂的“假面攻擊”(Masque Attack)技術(shù)在用戶智能手機(jī)上植入惡意應(yīng)用。
FireEye表示,這些攻擊能夠被用戶盜竊用戶銀行賬戶、電子郵件登錄信息,或是其它的敏感數(shù)據(jù)。FireEye高級(jí)研究科學(xué)家魏濤(音譯)表示,“這是一個(gè)非常大的漏洞,能夠輕松的被黑客所利用。”
iOS的安全功能,讓黑客們很難使用感染W(wǎng)indows和Android設(shè)備的傳統(tǒng)技術(shù),來(lái)在iOS設(shè)備中安裝惡意軟件。移動(dòng)安全公司Lookout的iOS產(chǎn)品經(jīng)理大衛(wèi)·理查德森(David Richardson)表示,因?yàn)樘O果準(zhǔn)許大型組織開發(fā)繞過(guò)蘋果應(yīng)用商店的客戶化應(yīng)用,這也讓“假面攻擊”成為了可能。
與應(yīng)用商店App Store中的應(yīng)用不同,這些應(yīng)用并不需要經(jīng)過(guò)蘋果的審查。不過(guò)用戶在安裝此類應(yīng)用之前都會(huì)收購(gòu)?fù)ㄖ?,詢?wèn)是否要阻止在設(shè)備上安裝該應(yīng)用。理查德森建議用戶選擇“不安裝”。他說(shuō),只要不安裝此類應(yīng)用,就不會(huì)受到攻擊。
FireEye的魏濤表示,該公司已在今年7月將這一漏洞報(bào)告給蘋果。蘋果代表已向FireEye表示,該公司正在對(duì)這一漏洞進(jìn)行修復(fù)。截至目前,蘋果方面對(duì)此報(bào)道未予置評(píng)。魏濤還表示,今年10月有關(guān)這個(gè)漏洞的消息開始出現(xiàn)在一些專門的網(wǎng)絡(luò)論壇上,網(wǎng)絡(luò)安全專家和黑客主要在這些論壇上討論蘋果產(chǎn)品漏洞的相關(guān)信息。
FireEye表示,之所以選擇公布這一漏洞,是因?yàn)樵摴驹谏现馨l(fā)現(xiàn),WireLurker公司因此漏洞遭到攻擊。魏濤說(shuō),“WireLurker目前是唯一一家遭到攻擊的公司,但我們將對(duì)此事進(jìn)行密切的關(guān)注。”