AppStore出現(xiàn)漏洞 用戶隱私遭遇大規(guī)模泄漏,一般來說所有的app上架商店的時候都會經(jīng)過蘋果的嚴格審查,不過蘋果的審查也并非是萬能的,今日就曝光了一個針對蘋果設(shè)備隱私的漏洞,已有數(shù)千款應(yīng)用中招。
FireEye稱,在蘋果iOS應(yīng)用商店內(nèi)有1220款應(yīng)用可能會受此影響。FireEye未透露這些應(yīng)用的具體名稱,但其已通知了這些應(yīng)用的開發(fā)商。FireEye警告稱,盡管JSPatch技術(shù)對于iOS開發(fā)十分有用,但如果被黑客利用,可能給用戶帶來巨大風險。
據(jù)悉,開源軟件JSPatch上存在的安全漏洞,可致黑客隨意訪問用戶設(shè)備當中的照片、麥克風和剪貼板數(shù)據(jù)以及其他涉及個人隱私的功能。
JSPatch框架
開源工具JSPatch最初來自中國。自2015年發(fā)布后在中國市場備受青睞,許多受歡迎和備受矚目的中文蘋果應(yīng)用程序都使用了這一技術(shù),但FireEye發(fā)現(xiàn),中國之外的開發(fā)商也都使用了這一技術(shù)框架。
FireEye指出,JSPatch框架可以使攻擊者有效規(guī)避蘋果應(yīng)用商店的審查程序,并使攻擊者在受害設(shè)備上肆意強制執(zhí)行程序,而任何反病毒工具都很難捕獲該框架代碼。
FireEye 在一篇博客中稱,“JSPatch對于iOS開發(fā)者來說是一個福音。正確使用它,可以迅速和有效地部署補丁和更新代碼。但現(xiàn)實世界并非我們想象中的那樣完美,我們必須假設(shè)這一技術(shù)被壞人利用、用于意想不到的用途。具體來說,如果攻擊者能夠篡改JavaScript文件內(nèi)容,那么其就可以以成功地對蘋果應(yīng)用商店內(nèi)的一個應(yīng)用發(fā)動攻擊。”
FireEye稱,JSPatch是為數(shù)不多的幾款面向iOS開發(fā)者提供低成本修復應(yīng)用之一。其他類似的幾款產(chǎn)品也存在類似潛在攻擊威脅。
如何規(guī)避漏洞
FireEye新興技術(shù)負責人喬什·戈德法布(Josh Goldfarb)表示,“狡猾的攻擊者可能會使用該技術(shù)框架,事先編寫一款合法且沒有惡意的應(yīng)用,然后提交蘋果應(yīng)用商店審核。一旦通過審核,將正式進入蘋果應(yīng)用商店,它就能夠給設(shè)備發(fā)送非法惡意指令。”
至于如何規(guī)避JSPatch漏洞風險,戈德法布表示:“我的建議十分標準:只你需要,而且你了解、你信任的應(yīng)用。謹防那些向你征求訪問權(quán)限的應(yīng)用。記住,僅向那些你認為必須的應(yīng)用提供訪問權(quán)限。”
其實對于iOS用戶而言,這并非首次遭遇大面積應(yīng)用漏洞威脅。2015年10月,安全研究公司SourceDNA發(fā)現(xiàn)了數(shù)百款iOS在采集用戶的隱私信息,同時違反了蘋果的安全和隱私指南。而這僅距惡意代碼XcodeGhost對蘋果應(yīng)用商店發(fā)動攻擊一個月后。
在解釋這一手機漏洞時,戈德法布稱:“移動設(shè)備是攻擊者比較青睞的攻擊目標,因為相對于筆記本電腦和臺式電腦而言,它們?nèi)狈Π踩雷o。未來我們將會看到,針對移動環(huán)境下的惡意攻擊越來越多。攻擊者會將注意力向金錢聚集的地方轉(zhuǎn)移,因此,我們將會看到更多針對移動設(shè)備的攻擊。”
蘋果AppStore中的應(yīng)用出現(xiàn)漏洞也不是什么稀奇事,2015年就曾經(jīng)曝光過一次大規(guī)模應(yīng)用被植入木馬的事件,許多國內(nèi)的應(yīng)用開發(fā)者了被木馬感染的Xcode開發(fā)工具,導致包括網(wǎng)易云音樂在內(nèi)的多款知名應(yīng)用中招。