报告称苹果应用商店逾千款应用存在漏洞

简介:

image

一家行业领先的网络安全公司发布研究报告称,苹果应用商店有超过1000款应用程序存在安全漏洞,容易受到黑客的攻击。

一款名为JSPatch的用于帮助开发者修改应用程序的软件,存在一个安全漏洞,这使得它很容易成为黑客的攻击目标。这个安全漏洞相当于在设备上留了一个后门。一旦黑客发现和利用这个后门,他们就能够访问到设备中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

该漏洞是网络安全公司FireEye发现的。该公司称,在苹果iOS应用商店中有1220款应用程序可能会受到影响。

“狡猾的攻击者可能会先编写一款合法的、没有恶意的应用程序,然后提交苹果应用商店审核。一旦它通过审核,正式进入苹果应用商店,它就能够给设备发送非法的、恶意的指令。”FireEye公司新兴科技主管乔希 高德法布(Josh Goldfarb)说。

开源工具JSPatch给了开发者更大的自主权,但却不符合苹果试图坚持的安全标准。

JSPatch并不是恶意软件,但是它的安全漏洞一旦被人利用,用户设备里的数据,甚至是用户允许该软件访问的其他应用程序,就很容易遭到非法入侵。

如果这款软件可以访问Apple Pay或其他移动钱包,那么问题就会变得非常严重了。

FireEye公司并未指明哪些应用程序是用JSPatch开发的,但是它重申苹果应用商店中已有1000多款应用程序受到影响。

高德法布给担心恶意应用程序的iOS用户提供了一些安全方面的建议。

“我们的建议是:仅下载你需要的、你了解的和你相信的应用程序。”他说,“提防那些不断向你提出请求并要求你批准的应用程序,只批准那些必要的请求。”

这并不是安全漏洞第一次出现在苹果的“封闭式花园”中。尽管如此,苹果的应用商店仍然要比谷歌应用商店Google Play安全得多。

在去年9月,数百款iPhone应用程序被发现感染恶意程序XcodeGhost。这算得上是苹果应用商店遭到的第一次较大的攻击。苹果当时立即行动,撤下了几款应用程序。

在被“越狱”的iOS设备中,这种攻击就常见得多。

“攻击者们一直在寻找进入苹果封闭式花园的途径。”FireEye公司的首席技术官布莱斯 博兰(Bryce Boland)说。

FireEye公司与《福布斯》杂志全球2000强企业中的650家企业均建立有合作关系。它预计,针对移动设备的恶意攻击还会增加。

“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑来说,它们的安全防护措施比较薄弱。”高德法布说,“我们将会看到移动环境下的恶意攻击越来越多。哪里有铜臭味,攻击者就会飞向哪里。因此,我们将会看到更多针对移动设备的攻击。”

苹果拒绝对此发表评论。

本文转自d1net(转载)

相关文章
|
云安全 SQL 监控
阿里云安全勒索月度报告(11月)
近些年随着勒索即服务(Ransomware-as-a-service)模式的流行,勒索病毒形成了越来越复杂的地下黑色产业链结构.
709 0
阿里云安全勒索月度报告(11月)
|
云安全 安全 BI
阿里云安全勒索月度报告(2021年9月)
近些年随着勒索即服务(Ransomware-as-a-service)模式的流行,勒索病毒形成了越来越复杂的地下黑色产业链结构
778 0
阿里云安全勒索月度报告(2021年9月)
|
Web App开发 云安全 安全
瑞星09年第一季度安全报告:8亿网民遭木马攻击
4月16日,瑞星公司发布《中国大陆地区2009年第一季度挂马网站安全威胁报告》(以下简称“《瑞星安全报告》”),瑞星“云安全”系统提供的数据表明,2009年1月至3月,互联网上出现的挂马网页累计达1亿9千多万个,平均每天有889万余人次网民访问这些网页,累计有8亿人次网民遭木马攻击。
1379 0
|
Web App开发 安全 Windows
IE再次曝出安全漏洞 微软表示正在调查
今天,微软官网发表了安全公告KB980088,声称正在调查一个近日被公布的新IE浏览器安全漏洞。据了解,该漏洞会导致信息泄露,影响所有Windows XP用户以及那些关闭了IE保护模式的用户。 根据微软当前的调查结果,如果用户运行的是没有保护模式的IE版本,那么攻击者可以访问已知文件名和地址的文件。
732 0
|
网络协议 安全 物联网
2017年第一季度DDoS攻击报告:中国依然是黑客的最爱
本文讲的是2017年第一季度DDoS攻击报告:中国依然是黑客的最爱,由于物联网僵尸网络的兴起,DDoS攻击也变得普遍起来。根据A10公司的网络调查显示,今年由物联网而引起的DDoS攻击已经达到了有史以来的最高纪录,在每次攻击中,都有数十万台连接到互联网的家用设备被DDoS攻击利用。
2018 0