AppStore出现漏洞 用户隐私遭大规模泄漏

简介:

AppStore出现漏洞 用户隐私遭遇大规模泄漏,一般来说所有的app上架商店的时候都会经过苹果的严格审查,不过苹果的审查也并非是万能的,今日就曝光了一个针对苹果设备隐私的漏洞,已有数千款应用中招。

FireEye称,在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称,但其已通知了这些应用的开发商。FireEye警告称,尽管JSPatch技术对于iOS开发十分有用,但如果被黑客利用,可能给用户带来巨大风险。

据悉,开源软件JSPatch上存在的安全漏洞,可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

JSPatch框架

开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐,许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术,但FireEye发现,中国之外的开发商也都使用了这一技术框架。

FireEye指出,JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序,并使攻击者在受害设备上肆意强制执行程序,而任何反病毒工具都很难捕获该框架代码。

FireEye 在一篇博客中称,“JSPatch对于iOS开发者来说是一个福音。正确使用它,可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美,我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说,如果攻击者能够篡改JavaScript文件内容,那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

FireEye称,JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

如何规避漏洞

FireEye新兴技术负责人乔什·戈德法布(Josh Goldfarb)表示,“狡猾的攻击者可能会使用该技术框架,事先编写一款合法且没有恶意的应用,然后提交苹果应用商店审核。一旦通过审核,将正式进入苹果应用商店,它就能够给设备发送非法恶意指令。”

至于如何规避JSPatch漏洞风险,戈德法布表示:“我的建议十分标准:只你需要,而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住,仅向那些你认为必须的应用提供访问权限。”

其实对于iOS用户而言,这并非首次遭遇大面积应用漏洞威胁。2015年10月,安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息,同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

在解释这一手机漏洞时,戈德法布称:“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑而言,它们缺乏安全防护。未来我们将会看到,针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移,因此,我们将会看到更多针对移动设备的攻击。”

苹果AppStore中的应用出现漏洞也不是什么稀奇事,2015年就曾经曝光过一次大规模应用被植入木马的事件,许多国内的应用开发者了被木马感染的Xcode开发工具,导致包括网易云音乐在内的多款知名应用中招。





本文作者:佚名
来源:51CTO
目录
相关文章
|
Web App开发 安全 Windows
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
135 0
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
|
安全 定位技术
程序人生 - 你的隐私可能被窃取!警惕这些隐私漏洞
程序人生 - 你的隐私可能被窃取!警惕这些隐私漏洞
169 0
程序人生 - 你的隐私可能被窃取!警惕这些隐私漏洞
|
Web App开发 安全 网络安全
SSL系统遭入侵发布虚假密钥 微软谷歌受影响
北京时间8月31日午间消息,SSL证书颁发机构(SSL Certificate Authority)证实其系统曾遭受入侵,导致一系列网站得到了一些虚假的公钥证书,其中包括Google.com。 此外,荷兰网路信托服务专业公司DigiNotar的证书在谷歌、Mozilla和微软的浏览器上业已失效,尽管它表示已经检测到了2011年7月19日发生的安全泄露问题,并删除了受影响的证书。
885 0
|
安全
新型威胁:公司内部人员与黑客勾结,出售敏感信息
本文讲的是新型威胁:公司内部人员与黑客勾结,出售敏感信息,古语有云:日防夜防,家贼难防。外部攻击固然可怕,但总有办法可以防护;内部威胁如同一颗隐藏的地雷,没人知道它处在何处,所以就无从防护。
1346 0
|
安全 数据安全/隐私保护
“云出血”漏洞凶猛!CloudFlare泄露海量用户信息
本文讲的是“云出血”漏洞凶猛!CloudFlare泄露海量用户信息,OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。
1901 0
|
安全 PHP 数据安全/隐私保护
DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶
本文讲的是DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶,近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。
2677 0
|
安全 数据安全/隐私保护 iOS开发
iCloud Keychain加密曝漏洞,允许攻击者窃取各类信息
本文讲的是iCloud Keychain加密曝漏洞,允许攻击者窃取各类信息,据安全公司Longterm Security指出,一个未被报告的 iOS 安全漏洞破坏了 iCloud 的端到端加密功能,并且可能允许攻击者窃取密码,信用卡和任何的其它文件信息。
1728 0
|
JavaScript 安全 Android开发
新型安卓木马SpyNote生成器遭泄露
本文讲的是新型安卓木马SpyNote生成器遭泄露,>近日,Palo Alto Networks 威胁情报团队Unit42 宣布发现一类新型安卓木马SpyNote,该木马可执行远程入侵功能,其生成器近日在多个恶意软件论坛上遭泄露。
4011 0
|
安全 测试技术 网络安全