本篇文章757字,读完约2分钟
11月11日,据国外媒体宣传报道,互联网安全研究企业fireeye周一宣布了ios操作系统APP安装验证漏洞。 这家企业被称为面具攻击( masque attack )。 此漏洞允许黑客访问iphone和ipad上的敏感数据,或者直接接管设备,从而获得控制权。
fireeye企业在博客上发表了详细内容。 为了实现屏蔽攻击( masque attack ),黑客必须首先向客户发送感染的短信、电子邮件和网页的链接,引导客户安装恶意APP。 一旦安装了恶意APP,就可以接管通过苹果APP存储区安装的所有APP,包括电子邮件和银行APP应用程序。 但是,不能更改预安装的APP,如safari。
原因是ios不强制验证具有相同绑定标识符( bundle identifier )的APP应用程序的证书。 该漏洞存在于IOs7.1.1、8.1.1、8.0、8.1和8.1.1的测试版中,既适用于越狱,也适用于非越狱设备。 利用此漏洞进行的攻击可以窃取银行和电子邮件的登录证书和其他敏感数据。 fireeye的资深研究员在接受采访时表示,这是一个非常强大的漏洞,容易被利用。
苹果政府目前尚未对此发表评论。 不过,fireeye企业表示,该公司代表在7月份告知苹果其漏洞,表示苹果正在努力修复。 fireeye现在决定公布这个漏洞是因为上周发现了第一个利用这个漏洞的恶意软件。 这个软件叫做wirelurker,感染mac电脑和ios设备。 fireeye现在不知道是否还有其他恶意软件利用这个漏洞进行攻击。 虽然目前wirelurker是唯一的,但我们应该会发现越来越多的事情。
fireeye建议ios客户不要安装来自非苹果官方APP商店的APP,也不要在出现的第三方网页上单击安装。 (秉翰) ) )。
网页/
标题:“iOS现应用验证漏洞 可利用其劫持设备”
地址:http://www.laszt.com/lhxinwen/8105.html
