3
在2013年的WWDC開發者大會上,蘋果宣布其Lion系統下特有的新功能AirDrop可支持iOS設備,iPhone之間也可實現共享傳輸功能,為用戶帶來了快速傳輸文件的便利條件。不過近日,外國安全研究人員Mark Dowd在iOS和OS X系統中發現了一個漏洞,這個漏洞可被用于向設備推送安裝惡意應用。
根據Mark Dowd的實驗發現,AirDrop的這個漏洞可以使攻擊者繞過詢問某款App是否可以信任安裝的權限,即使用戶并沒有選擇接受該文件、并且也沒有許可或通知的情況下,惡意軟件就可被安裝在設備上。也就是說,通過AirDrop漏洞,設備可能會在用戶毫不知情的情況下就被悄悄安裝了某些惡意軟件,除了會給設備帶來一定的安全威脅之外,也著實給用戶帶來了不小的麻煩。
Dowd利用自己的蘋果企業證書創建了一款測試應用,然后順利地讓它在任意設備上運行。通過一個企業配置文件,其能夠繞過代碼簽名保護并安裝應用,而不出現任何的提示。
Dowd還表示,雖然惡意軟件安裝時并沒有提示,但是AirDrop在向設備推送文件時會在設備上彈出一個提示,讓用戶選擇接收與否,用戶必須解鎖手機以選擇是否拒絕,不過通過這個樓同,就算用戶拒絕接收也無濟于事,因為在軟件被推送過來的時候,AirDrop的這個漏洞就已經被觸發了。
就該漏洞的問題,Dowd在視頻中利用iOS 8.4.1版本的系統,向大家演示了 AirDrop 漏洞入侵的全過程,該漏洞除了能夠在未經用戶許可的情況下安裝應用外,還可用于覆蓋寫入iOS和 OS X中的文件,對用戶的設備安全造成了很大的威脅。
Dowd表示已經向蘋果匯報了這一漏洞的存在,除了iOS 8系統之外,本月16號開始,蘋果已經陸陸續續向全球推送了iOS 9操作系統,在最新的iOS 9系統中,蘋果添加了相應的措施,限制了AirDrop的訪問,增加了相對安全性,該漏洞并沒有被徹底解決。不過,雷鋒網建議大家升級至iOS 9或關閉AirDrop以確保設備安全。
目前蘋果方面并沒有正面回應該漏洞的相關問題。
無論是iOS還是OS X,蘋果的系統一直以來給人的印象都是相對安全的,不過,近兩年蘋果設備的各種漏洞事件頻發,一方面說明蘋果的設備并沒有想象中的那么安全,另一方面說明蘋果系統越來越普及、愈加受關注了,以至很多人都開始研究蘋果系統,作為一款操作系統,Bug和漏洞是難免的事情,只希望蘋果會更加關注漏洞問題,為用戶提供更安全的操作環境。
更詳細內容還可以閱讀雷鋒網的深度解讀:再不升級iOS9,你的 iPhone可能就這樣被黑掉!
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
