AppStore出現(xiàn)漏洞 用戶隱私遭大規(guī)模泄漏

責任編輯:editor007

2016-02-01 20:32:31

摘自:51CTO

AppStore出現(xiàn)漏洞 用戶隱私遭遇大規(guī)模泄漏,一般來說所有的app上架商店的時候都會經(jīng)過蘋果的嚴格審查,不過蘋果的審查也并非是萬能的,今日就曝光了一個針對蘋果設(shè)備隱私的漏洞,已有數(shù)千款應(yīng)用中招。

AppStore出現(xiàn)漏洞 用戶隱私遭遇大規(guī)模泄漏,一般來說所有的app上架商店的時候都會經(jīng)過蘋果的嚴格審查,不過蘋果的審查也并非是萬能的,今日就曝光了一個針對蘋果設(shè)備隱私的漏洞,已有數(shù)千款應(yīng)用中招。

FireEye稱,在蘋果iOS應(yīng)用商店內(nèi)有1220款應(yīng)用可能會受此影響。FireEye未透露這些應(yīng)用的具體名稱,但其已通知了這些應(yīng)用的開發(fā)商。FireEye警告稱,盡管JSPatch技術(shù)對于iOS開發(fā)十分有用,但如果被黑客利用,可能給用戶帶來巨大風險。

據(jù)悉,開源軟件JSPatch上存在的安全漏洞,可致黑客隨意訪問用戶設(shè)備當中的照片、麥克風和剪貼板數(shù)據(jù)以及其他涉及個人隱私的功能。

JSPatch框架

開源工具JSPatch最初來自中國。自2015年發(fā)布后在中國市場備受青睞,許多受歡迎和備受矚目的中文蘋果應(yīng)用程序都使用了這一技術(shù),但FireEye發(fā)現(xiàn),中國之外的開發(fā)商也都使用了這一技術(shù)框架。

FireEye指出,JSPatch框架可以使攻擊者有效規(guī)避蘋果應(yīng)用商店的審查程序,并使攻擊者在受害設(shè)備上肆意強制執(zhí)行程序,而任何反病毒工具都很難捕獲該框架代碼。

FireEye 在一篇博客中稱,“JSPatch對于iOS開發(fā)者來說是一個福音。正確使用它,可以迅速和有效地部署補丁和更新代碼。但現(xiàn)實世界并非我們想象中的那樣完美,我們必須假設(shè)這一技術(shù)被壞人利用、用于意想不到的用途。具體來說,如果攻擊者能夠篡改JavaScript文件內(nèi)容,那么其就可以以成功地對蘋果應(yīng)用商店內(nèi)的一個應(yīng)用發(fā)動攻擊。”

FireEye稱,JSPatch是為數(shù)不多的幾款面向iOS開發(fā)者提供低成本修復應(yīng)用之一。其他類似的幾款產(chǎn)品也存在類似潛在攻擊威脅。

如何規(guī)避漏洞

FireEye新興技術(shù)負責人喬什·戈德法布(Josh Goldfarb)表示,“狡猾的攻擊者可能會使用該技術(shù)框架,事先編寫一款合法且沒有惡意的應(yīng)用,然后提交蘋果應(yīng)用商店審核。一旦通過審核,將正式進入蘋果應(yīng)用商店,它就能夠給設(shè)備發(fā)送非法惡意指令。”

至于如何規(guī)避JSPatch漏洞風險,戈德法布表示:“我的建議十分標準:只你需要,而且你了解、你信任的應(yīng)用。謹防那些向你征求訪問權(quán)限的應(yīng)用。記住,僅向那些你認為必須的應(yīng)用提供訪問權(quán)限。”

其實對于iOS用戶而言,這并非首次遭遇大面積應(yīng)用漏洞威脅。2015年10月,安全研究公司SourceDNA發(fā)現(xiàn)了數(shù)百款iOS在采集用戶的隱私信息,同時違反了蘋果的安全和隱私指南。而這僅距惡意代碼XcodeGhost對蘋果應(yīng)用商店發(fā)動攻擊一個月后。

在解釋這一手機漏洞時,戈德法布稱:“移動設(shè)備是攻擊者比較青睞的攻擊目標,因為相對于筆記本電腦和臺式電腦而言,它們?nèi)狈Π踩雷o。未來我們將會看到,針對移動環(huán)境下的惡意攻擊越來越多。攻擊者會將注意力向金錢聚集的地方轉(zhuǎn)移,因此,我們將會看到更多針對移動設(shè)備的攻擊。”

蘋果AppStore中的應(yīng)用出現(xiàn)漏洞也不是什么稀奇事,2015年就曾經(jīng)曝光過一次大規(guī)模應(yīng)用被植入木馬的事件,許多國內(nèi)的應(yīng)用開發(fā)者了被木馬感染的Xcode開發(fā)工具,導致包括網(wǎng)易云音樂在內(nèi)的多款知名應(yīng)用中招。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號