2014-11-11
早於7月已通報 Apple官方愛理不理
FireEye公開iOS「Masque Attack」漏洞
文: Spike Lam / 新聞中心
文章索引: IT要聞 IT港聞 軟件 Apple

網絡安全研究公司 FireEye 10 日宣佈,發現了 Apple iOS 作業系統的重大應用驗證漏洞,黑客只需誘使用戶點擊被感染的郵件、網頁連結,並安裝了惡意應用程序,即可透過此漏洞對 iPhone 及 iPad 直接訪問或劫持這些設備並獲得完整控制權,稱為「 Masque Attack 」。

 

FireEye 在其官方網站公佈了相關漏洞的細節,如何實現取得控制權,同時示範當惡意程序被安裝後,黑客如何接管通過 Apple AppStore 安裝的所有應用程序,如果用家的手機安裝了銀行或網上購物程序,將有可能被盜取非常敏感的個人資料,只有預裝於 iOS 的應用沒有被此一漏洞影響。

 

據了解,「 Masque Attack 」漏洞主要是 Apple iOS 不用強制驗證具有相同 Bundle Identifier 應用程序的證書,受影響的 iOS 版本包括了 iOS 7.1.1 、 7.1.2 、 8.0 、 8.1 及最新的 Beta 版本 8.1.1 ,而且不論用家的 iOS 裝置是否已 Jailbreak 也會受此一漏洞影響, FireEye 認為這是一個非常可怕的漏洞, Apple 必需立即正視問題。

 

就此一漏洞向 Apple 查証, Apple 表示目前不會就事件作出任何評論,而 FireEye 公司表示此一漏洞其實早於今年 7 月已經被發現,並告知 Apple 跟進,但 Apple 只表示正在調查事件,最終 Apple 在及後的 3-4 個 iOS 更新版本中,均無視「 Masque Attack 」漏洞存在,由於首個基於「 Masque Attackz 」方法的木馬軟件已經出現,因此 FireEye 決定公開此一漏洞,迫使 Apple 立即正視問題。

 

FireFye 建議 Apple iOS 裝置用戶避免安裝來自非 Apple App Store 的應用程序,尤其是電子郵件或網頁連結所安裝的第三方程序安裝,以防止黑客利用「 Masque Attack 」漏洞入侵。

 

WireLurker

分享到:
發表評論
本篇文章被 13498 人閱讀,共有 個評論