FireEye公開iOS「Masque Attack」漏洞

網絡安全研究公司 FireEye 10 日宣佈，發現了 Apple iOS 作業系統的重大應用驗證漏洞，黑客只需誘使用戶點擊被感染的郵件、網頁連結，並安裝了惡意應用程序，即可透過此漏洞對 iPhone 及 iPad 直接訪問或劫持這些設備並獲得完整控制權，稱為「 Masque Attack 」。

FireEye 在其官方網站公佈了相關漏洞的細節，如何實現取得控制權，同時示範當惡意程序被安裝後，黑客如何接管通過 Apple AppStore 安裝的所有應用程序，如果用家的手機安裝了銀行或網上購物程序，將有可能被盜取非常敏感的個人資料，只有預裝於 iOS 的應用沒有被此一漏洞影響。

據了解，「 Masque Attack 」漏洞主要是 Apple iOS 不用強制驗證具有相同 Bundle Identifier 應用程序的證書，受影響的 iOS 版本包括了 iOS 7.1.1 、 7.1.2 、 8.0 、 8.1 及最新的 Beta 版本 8.1.1 ，而且不論用家的 iOS 裝置是否已 Jailbreak 也會受此一漏洞影響， FireEye 認為這是一個非常可怕的漏洞， Apple 必需立即正視問題。

就此一漏洞向 Apple 查証， Apple 表示目前不會就事件作出任何評論，而 FireEye 公司表示此一漏洞其實早於今年 7 月已經被發現，並告知 Apple 跟進，但 Apple 只表示正在調查事件，最終 Apple 在及後的 3-4 個 iOS 更新版本中，均無視「 Masque Attack 」漏洞存在，由於首個基於「 Masque Attackz 」方法的木馬軟件已經出現，因此 FireEye 決定公開此一漏洞，迫使 Apple 立即正視問題。

FireFye 建議 Apple iOS 裝置用戶避免安裝來自非 Apple App Store 的應用程序，尤其是電子郵件或網頁連結所安裝的第三方程序安裝，以防止黑客利用「 Masque Attack 」漏洞入侵。

来源:http://www.hkepc.com/11905