iOS再爆重大安全漏洞！駭客可誘安裝假面app竊取個資

iOS 8

資安公司 FireEye 週一 (10 日) 警告，iPhone 製造商蘋果 (Apple)(AAPL-US) 的 iOS 行動裝置作業系統存在一重大安全漏洞，提供駭客途徑利用感染病毒的簡訊、電子郵件及網頁連結，來謊騙使用者安裝偽裝成官方版第三方應用程式 (app) 的惡意軟體，即進行所謂「假面攻擊 (Masque Attacks)」。

FireEye 表示，他們早在今年 7 月 26 日就通報蘋果此一 iOS 程式錯誤 (bug) 安全漏洞，直到一週前資安專家 Claud Xiao 發現針對 iOS 系統的惡意軟體 WireLurker，他們接著發掘該軟體會利用某種程度的「假面攻擊」來襲擊 iOS 裝置，且威脅力更勝 WireLurker。

FireEye 解釋，這是因為「假面攻擊」會以感染病毒的軟體偽裝取代 iOS 裝置原本正統的 app，例如網路銀行或電郵軟體，進而掩護駭客竊取使用者個人機密資料。且原本安裝在 iOS 裝置上的正統 app 內存有的資料，也能夠被竊取。

FireEye 描述，進行「假面攻擊」的駭客會利用像「新憤怒鳥」等看似無害的軟體名稱，拐騙 iOS 用戶安裝有害的 app，再利用 iOS 漏洞讓系統自動取代原本安裝在裝置內的正版 app，連同原本的認證方式也一併移入。這種攻擊不會取代 iOS 內建蘋果軟體如 Safari 瀏覽器，而只會取代從蘋果線上商店下載的 app。

FireEye 警告，由於他們找到證據顯示此資安問題已開始擴散，因此必須對大眾發布緊急通知，因為現有防毒軟體可能還無法偵測出這項攻擊。至於如何因應，FireEye 建議現有 iPhone 智慧手機及 iPad 平板電腦用戶，切勿安裝非來自蘋果官方 App Store 的應用程式，或是未獲 iOS 安全認證的 app。