曝苹果应用商店逾千款iOS应用存安全漏洞

2016.01.30 14:21:15 来源: 凤凰网科技 作者:凤凰网科技 ( 条评论 )
 

凤凰科技讯 北京时间1月30日消息,据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”、可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS应用处于黑客攻击危险之中。

苹果应用商店

FireEye称,在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称,但其已通知了这些应用的开发商。FireEye警告称,尽管JSPatch技术对于iOS开发十分有用,但如果被黑客利用,可能给用户带来巨大风险。

据悉,开源软件JSPatch上存在的安全漏洞,可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

JSPatch框架

开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐,许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术,但FireEye发现,中国之外的开发商也都使用了这一技术框架。

FireEye指出,JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序,并使攻击者在受害设备上肆意强制执行程序,而任何反病毒工具都很难捕获该框架代码。

FireEye在一篇博客中称,“JSPatch对于iOS开发者来说是一个福音。正确使用它,可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美,我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说,如果攻击者能够篡改JavaScript文件内容,那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

FireEye称,JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

如何规避漏洞

FireEye新兴技术负责人乔什·戈德法布(Josh Goldfarb)表示,“狡猾的攻击者可能会使用该技术框架,事先编写一款合法且没有恶意的应用,然后提交苹果应用商店审核。一旦通过审核,将正式进入苹果应用商店,它就能够给设备发送非法恶意指令。”

至于如何规避JSPatch漏洞风险,戈德法布表示:“我的建议十分标准:只下载你需要,而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住,仅向那些你认为必须的应用提供访问权限。”

其实对于iOS用户而言,这并非首次遭遇大面积应用漏洞威胁。2015年10月,安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息,同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

在解释这一手机漏洞时,戈德法布称:“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑而言,它们缺乏安全防护。未来我们将会看到,针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移,因此,我们将会看到更多针对移动设备的攻击。”

广告 aliyun
标签: 苹果应用商店 iOS应用 iOS应用漏洞 ( 责任编辑:卢田甜)
分享到
复制链接
打印

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

 

(共有 条评论 ) 网友评论

()
发表评论:
  名字:   验证码: 获取验证码
同时转发到   

更多移动设备

一加5T手机正式发布

不久前一加在海外举办了一场发布会,这次发布会的主题就是一加5T,实际上这款产品对于...

三星S9确切发布时间曝光

很多消息都指出,三星Galaxy S9将比较早的发布,也就是不会像GS8那样,3月亮相4月开卖...

红米Note 5最新渲染图曝光

如今到处都是全面屏,大大小小的厂商都在做,甚至普及到了千元机,而作为引领者的小米...

更多移动互联

高通收购恩智浦有望消除障碍

监管文件显示,科斯罗萨西周四通知纽约时报公司董事会,他将因为出任Uber的新职位而卸...

腾讯超预期业绩推动股价创新高

北京时间10月30日早间消息,Uber上周五宣布任命一名新的首席法务官,帮助该公司应对诸...

苹果明年或成首家万亿美元公司

一名美国法官已责令进行一项新的审判,目的是判定三星应因其抄袭苹果公司iPhone外观设...

更多移动应用

迅雷全新客户端来了

11月16日晚间,迅雷发布了2017年第三季度未经审计的财报。财报显示,截止2017年9月30...

双11后菜鸟裹裹APP彻底火了

双11到来,在买买买超过8亿天量订单后,剁手党们最关心的是快递到哪儿了。由于菜鸟裹...

苹果发布iOS 11.1.2系统升级

这次苹果更新iOS 11系统之后并没有什么太大的漏洞和BUG,但小问题不断,比如计算器出...

更多手机游戏

王者荣耀马可波罗重做

王者荣耀马可波罗重做带真实伤害,被动技能加强了不止一点。下面就来一起看下吧。......

光荣使命游戏术语解析

光荣使命游戏专业术语有哪些,这种游戏关键时刻一般都只发游戏术语与黑话,那一起看下......

苍蓝境界维拉技能分析

苍蓝境界维拉怎么样,苍蓝境界维拉技能介绍。维拉属于治疗型五星角色,一起看下吧。......

绝地求生大逃杀决赛圈攻略

《绝地求生大逃杀》中的四排是需要有一些战术策略的,这样团队合作才能发挥出较好的效......