11月11日,网络安全公司FireEye周一发布报告称,苹果iOS操作系统中存在的一个漏洞,能够让黑客通过攻击,控制绝大多数的iPhone和iPad,并获取到这些设备中的敏感数据。
FireEye周一在官方博客上公布了有关iOS漏洞的细节信息。该公司表示,iOS操作系统中的这一漏洞,能够通过短信、电子邮件或链接,诱骗用户安装恶意应用,从而黑客控制用户的设备。
随后,黑客可利用恶意应用来取代通过苹果应用商店App Store安装的真实、可信的应用,如电子邮件和银行应用等,并通过FireEye所谓的“假面攻击”(Masque Attack)技术在用户智能手机上植入恶意应用。
FireEye表示,这些攻击能够被用户盗窃用户银行账户、电子邮件登录信息,或是其它的敏感数据。FireEye高级研究科学家魏涛(音译)表示,“这是一个非常大的漏洞,能够轻松的被黑客所利用。”
iOS的安全功能,让黑客们很难使用感染Windows和Android设备的传统技术,来在iOS设备中安装恶意软件。移动安全公司Lookout的iOS产品经理大卫·理查德森(David Richardson)表示,因为苹果准许大型组织开发绕过苹果应用商店的客户化应用,这也让“假面攻击”成为了可能。
与应用商店App Store中的应用不同,这些应用并不需要经过苹果的审查。不过用户在安装此类应用之前都会收购通知,询问是否要阻止在设备上安装该应用。理查德森建议用户选择“不安装”。他说,只要不安装此类应用,就不会受到攻击。
FireEye的魏涛表示,该公司已在今年7月将这一漏洞报告给苹果。苹果代表已向FireEye表示,该公司正在对这一漏洞进行修复。截至目前,苹果方面对此报道未予置评。魏涛还表示,今年10月有关这个漏洞的消息开始出现在一些专门的网络论坛上,网络安全专家和黑客主要在这些论坛上讨论苹果产品漏洞的相关信息。
FireEye表示,之所以选择公布这一漏洞,是因为该公司在上周发现,WireLurker公司因此漏洞遭到攻击。魏涛说,“WireLurker目前是唯一一家遭到攻击的公司,但我们将对此事进行密切的关注。”
