蘋果出現惡意軟體推送漏洞,iOS 9 也不能倖免

作者 | 發布日期 2015 年 09 月 18 日 1:17 | 分類 Apple , iOS , 資訊安全 follow us in feedly

在 2013 年的 WWDC 開發者大會上,蘋果宣布其 Lion 系統下特有的新功能 AirDrop 可支援 iOS 裝置,iPhone 之間也可實現共享傳輸功能,為用戶帶來了快速傳輸文件的便利條件。不過近日,外國安全研究人員 Mark Dowd 在 iOS 和 OS X 系統中發現了一個漏洞,這個漏洞可被用於向設備推送安裝惡意應用軟體。



根據 Mark Dowd 的實驗發現,AirDrop 的這個漏洞可以使攻擊者繞過詢問某款 App 是否可以信任安裝的權限,即使用戶並沒有選擇接受該文件、並且也沒有許可或通知的情況下,惡意軟體就可被安裝在設備上。也就是說,透過 AirDrop 漏洞,裝置可能會在用戶毫不知情的情況下,就被悄悄安裝了某些惡意軟體,除了會給裝置帶來一定的安全威脅之外,也著實給用戶帶來了不小的麻煩。

Dowd 利用自己的蘋果企業證書創建了一款測試應用程式,然後順利地讓它在任意裝置上運行。透過一個企業配置文件,其能夠繞過代碼簽名保護並安裝應用,而不出現任何的提示。

Dowd 還表示,雖然惡意軟體安裝時並沒有提示,但是 AirDrop 在向裝置推送文件時會在設備上彈出一個提示,讓用戶選擇接收與否,用戶必須解鎖手機以選擇是否拒絕,不過透過這個提醒,就算用戶拒絕接收也無濟於事,因為在軟體被推送過來的時候,AirDrop 的這個漏洞就已經被觸發了。

就該漏洞的問題,Dowd 在影片中利用 iOS 8.4.1 版本的系統,向大家展示了 AirDrop 漏洞入侵的全過程,該漏洞除了能夠在未經用戶許可的情況下安裝應用程式外,還可用於覆蓋寫入 iOS 和 OS X 中的文件,對用戶的裝置安全造成了很大的威脅。

Dowd 表示已經向蘋果匯報了這一漏洞的存在,除了 iOS 8 系統之外,本月 16 日開始,蘋果已經陸陸續續向全球推送了 iOS 9 操作系統,在最新的 iOS 9 系統中,蘋果添加了相應的措施,限制了 AirDrop 的訪問,增加了相對安全性,該漏洞並沒有被徹底解決。不過,建議大家升級至 iOS 9 或關閉 AirDrop 以確保設備安全。

目前蘋果方面並沒有正面回應該漏洞的相關問題。

無論是 iOS 還是 OS X,蘋果的系統一直以來給人的印象都是相對安全的,不過,近兩年蘋果裝置的各種漏洞事件頻發,一方面說明蘋果的設備並沒有想像中的那麼安全,另一方面說明蘋果系統越來越普及、愈加受關注了,以至很多人都開始研究蘋果系統,做為一款操作系統,Bug 和漏洞是難免的事情,只希望蘋果會更加關注漏洞問題,為用戶提供更安全的操作環境。

(本文由 雷鋒網 授權轉載) 

關鍵字: , , , , ,

發表迴響