曝苹果应用商店逾千款iOS应用存安全漏洞

2016.01.30 14:21:15 来源: 凤凰网科技 作者:凤凰网科技 ( 条评论 )
 

凤凰科技讯 北京时间1月30日消息,据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”、可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS应用处于黑客攻击危险之中。

苹果应用商店

FireEye称,在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称,但其已通知了这些应用的开发商。FireEye警告称,尽管JSPatch技术对于iOS开发十分有用,但如果被黑客利用,可能给用户带来巨大风险。

据悉,开源软件JSPatch上存在的安全漏洞,可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

JSPatch框架

开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐,许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术,但FireEye发现,中国之外的开发商也都使用了这一技术框架。

FireEye指出,JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序,并使攻击者在受害设备上肆意强制执行程序,而任何反病毒工具都很难捕获该框架代码。

FireEye在一篇博客中称,“JSPatch对于iOS开发者来说是一个福音。正确使用它,可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美,我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说,如果攻击者能够篡改JavaScript文件内容,那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

FireEye称,JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

如何规避漏洞

FireEye新兴技术负责人乔什·戈德法布(Josh Goldfarb)表示,“狡猾的攻击者可能会使用该技术框架,事先编写一款合法且没有恶意的应用,然后提交苹果应用商店审核。一旦通过审核,将正式进入苹果应用商店,它就能够给设备发送非法恶意指令。”

至于如何规避JSPatch漏洞风险,戈德法布表示:“我的建议十分标准:只下载你需要,而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住,仅向那些你认为必须的应用提供访问权限。”

其实对于iOS用户而言,这并非首次遭遇大面积应用漏洞威胁。2015年10月,安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息,同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

在解释这一手机漏洞时,戈德法布称:“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑而言,它们缺乏安全防护。未来我们将会看到,针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移,因此,我们将会看到更多针对移动设备的攻击。”

广告 aliyun
标签: 苹果应用商店 iOS应用 iOS应用漏洞 ( 责任编辑:卢田甜)
分享到
复制链接
打印

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

 

(共有 条评论 ) 网友评论

()
发表评论:
  名字:   验证码: 获取验证码
同时转发到   
candouwang

更多移动设备

三星S8无边框全面屏设计

Note 7激进的设计,最终导致了这款机皇提前退场,而对于目前的三星来说,Galaxy S8不...

小米5C玻璃材质+正面指纹

在小米5C确定了发布信息后,就处理器版本问题网友们也展开了讨论,有人认为小米5C除了...

三星S7 Edge珍珠黑登场

在国内一般手机厂商都会设计多种颜色,但上市的时候总有一些颜色缺货。但三星和大多数...

更多移动互联

微软宣布完成收购LinkedIn交易

北京时间12月8日晚间消息,微软今日宣布,已正式完成收购LinkedIn交易。微软今年6月宣...

爱立信提前实施3900人裁员计划

北京时间12月8日晚间消息,爱立信今日宣布,已提前在瑞典实施裁员计划,这将使得今年...

谷歌2016开发者大会在北京召开

2016年谷歌开发者大会在北京国家会议中心举办,谷歌大中华区总裁石博盟(Scott Beaumo...

更多移动应用

星巴克即日起支持微信支付

12月8日,腾讯和星巴克在广州共同宣布正式达成战略合作。作为双方合作的核心之一,微...

更多新车型支持CarPlay

苹果公司今天更新 CarPlay 网页,增加了更多新增支持的车型。从苹果的更新来看,目前...

macOS 10.12.2 Beta6已上线

威锋网讯,最近苹果似乎加快了对各个平台的测试工作,每一天我们感觉都可以等到新的 B...

更多手机游戏

《火影忍者》手游12月25日周年庆上线 圣诞

火影忍者手游周年庆即将到来,之前大家一直不知道新版本什么时候推出,下面为大家介绍......

《王者荣耀》花木兰重做外形曝光 新版花木

王者荣耀花木兰已经开启了重做,目前新版花木兰外形已经曝光,下面就为大家带来花木兰......

《奇迹暖暖》第七章联盟委托开启 新章节套

奇迹暖暖第七章联盟委托即将开启。在被夜色笼罩的云端花田,暖暖一行又会遇到什么趣事......

芒果互娱开启游戏1+N营销新模式

芒果互娱携手湖南卫视、芒果TV于5月26日在北京举行了一场以“1+N,一起玩”为主题的游......