信息剽窃者的温床,iOS 惊爆 Masque Attack 漏洞
近日,网络安全公司 FireEye 公布一个被称为“Masque Attack”的 iOS 系统漏洞,攻击者可以通过短信、电子邮件和网页链接诱使 iPhone 和 iPad 用户安装恶意应用程序,然后利用这一漏洞将恶意应用植入用户设备,代替已有的应用程序从而获取用户的银行账户、电子邮件账户等敏感数据,除此之外他们甚至还可以利用这一漏洞获得这些设备的控制权。
而且除了短信、电子邮件和网页链接之外,第三方市场也成为了黑客利用这一漏洞的重要场所之一,因为这些第三方市场并没有像苹果商店那样严格的审核标准,所以攻击者更有可能利用这点传播这些恶意应用程序。
FireEye 公司指出,Masque Attack 出现的原因是因为 iOS 系统不强制验证具有相同“绑定标识符”应用程序的证书,换言之,也就是说只要有一个应用拥有与其它应用相同的绑定标识符,它就可以覆盖另一个应用,这也是为什么攻击者需要在被攻击者设备中植入恶意应用的原因。
FireEye 还表示,他们已经在 7 月 26 日时向苹果提交了这一漏洞,之所以选择在现在公布主要是因为他们发现之前在 Mac 和 iOS 平台上蔓延恶意应用 WireLurker 与此漏洞有关。
碰巧的是此前安全研究员 Jonathan Zdziarski 也曾在博客上表示,iOS 的配对机制是滋生恶意应用的罪魁祸首,因为它可以让更复杂的变种软件轻易在苹果设备上蔓延。从他所给出的解释来看,WireLurker 的攻击方式与利用 Masque Attack 的攻击机理相同。
目前苹果已经及时阻止了 WireLurker 的扩散,不过据安全公司 Palo Alto Networks 的数据显示,在苹果阻止之前已有 467 个被感染的应用在最近的 6 个月内被下载达到了 356104 次,并且影响到成千上万的用户。鉴于并未有消息指出苹果已经修复这个漏洞,所以在未来一段时间可能会有更多类似的攻击。
不过虽然 Masque Attack 漏洞的影响十分大,但是它也并非无法避免。因为它主要依靠恶意应用来获取用户信息,所以 iOS 用户只需避免安装来自非苹果官方应用商店的应用程序,且不要在弹出的第三方网页上安装应用程序即可。
题图来自 foxbusiness