這下蘋果也難防,駭客利用 TestFlight 傳送惡意 iOS 應用程式

作者 | 發布日期 2022 年 03 月 17 日 9:46 | 分類 Apple , iOS , 資訊安全 Telegram share ! follow us in feedly


說到惡意應用程式,多數人可能會直覺認為 Android 用戶較容易從 Google Play 下載(且 Android 手機也允許側載應用程式),iOS 用戶因蘋果 App Store 審查機制較嚴格且不開放應用程式側載,因此較難被惡意程式入侵。

但不幸的是,現在有惡意人士發現能利用蘋果 TestFlight 工具向不知情用戶發送惡意軟體,且透過 TestFlight 還能繞過蘋果應用程式審查機制。

什麼是 TestFlight?TestFlight 是蘋果協助開發者發送 Beta 版本軟體的工具,開發者利用 TestFlight 可向 1 萬名 iPhone、iPad 用戶發送應用程式,且 Beta 版軟體不需通過 App Store 審核,所以有心人士只要將惡意程式夾在其中發送即可,蘋果根本就不知道駭客用這方式散播惡意軟體。

不過也不是所有 iOS 用戶都需擔心「中獎」,因如果要接收 TestFlight 傳送的測試應用程式,前提是要先下載 TestFlight,駭客才能利用 TestFlight 傳送惡意應用程式。

但若 iPhone 與 iPad 有下載 TestFlight,擔任新應用程式測試員前就要小心,因透過 TestFlight,測試版應用程式下載非常簡單,開發者甚至只提供公共下載連結就能讓你下載應用程式,連寄釣魚信都不需要。

此惡意行為被資安公司 Sophos 發現,指名為 CryptoRom 的犯罪組織一直都向 iOS 與 Android 用戶發送假加密貨幣應用程式。這次被 Sophos 發現的假 iOS 應用程式就是假冒成 BTCBOX 日本加密貨幣交易所應用程式;也有人偽裝成加密貨幣挖礦公司 BitFury 並透過 TestFlight 發送假應用程式。

TestFlight 容易發送測試版應用程式的確給駭客操作空間,不過蘋果勢必不會貿然更改 TestFlight 工作流程,因為會影響真正開發者工作;蘋果只能告訴用戶,不要下載安裝未知來源的應用程式,以免受騙。

(首圖來源:App Store)

關鍵字: , ,