曝苹果应用商店逾千款iOS应用存安全漏洞

2016.01.30 14:21:15 来源: 凤凰网科技 作者:凤凰网科技 ( 条评论 )
 

凤凰科技讯 北京时间1月30日消息,据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”、可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS应用处于黑客攻击危险之中。

苹果应用商店

FireEye称,在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称,但其已通知了这些应用的开发商。FireEye警告称,尽管JSPatch技术对于iOS开发十分有用,但如果被黑客利用,可能给用户带来巨大风险。

据悉,开源软件JSPatch上存在的安全漏洞,可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

JSPatch框架

开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐,许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术,但FireEye发现,中国之外的开发商也都使用了这一技术框架。

FireEye指出,JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序,并使攻击者在受害设备上肆意强制执行程序,而任何反病毒工具都很难捕获该框架代码。

FireEye在一篇博客中称,“JSPatch对于iOS开发者来说是一个福音。正确使用它,可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美,我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说,如果攻击者能够篡改JavaScript文件内容,那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

FireEye称,JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

如何规避漏洞

FireEye新兴技术负责人乔什·戈德法布(Josh Goldfarb)表示,“狡猾的攻击者可能会使用该技术框架,事先编写一款合法且没有恶意的应用,然后提交苹果应用商店审核。一旦通过审核,将正式进入苹果应用商店,它就能够给设备发送非法恶意指令。”

至于如何规避JSPatch漏洞风险,戈德法布表示:“我的建议十分标准:只下载你需要,而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住,仅向那些你认为必须的应用提供访问权限。”

其实对于iOS用户而言,这并非首次遭遇大面积应用漏洞威胁。2015年10月,安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息,同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

在解释这一手机漏洞时,戈德法布称:“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑而言,它们缺乏安全防护。未来我们将会看到,针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移,因此,我们将会看到更多针对移动设备的攻击。”

aliyun
标签: 苹果应用商店 iOS应用 iOS应用漏洞 ( 责任编辑:卢田甜)
分享到
复制链接
打印

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

 

(共有 条评论 ) 网友评论

()
发表评论:
  名字:   验证码: 获取验证码
同时转发到   

更多移动设备

iPhone7要变身iPhone 6SE

现在的问题是,从昨天曝光的情况,新iPhone可能不叫iPhone 7,而是iPhone 6SE,那么双...

魅族魅蓝U20开箱图赏

魅族昨天悄然发布了两款魅蓝新机,分别是U10、U20。两款魅族新机在外形设计上风格基本...

乐2S Pro真机照曝光

乐视跟小米谁会抢得骁龙821处理器的首发呢?之前,乐视移动总裁冯幸已经在微博上自曝...

更多移动互联

亚马逊建立阅读基金 普及数字图书

据外媒报道,今天,亚马逊推出了名为Kindle阅读基金的新计划,其目标就是在全球普及数...

P2P监管细则出炉 几家欢喜几家愁

24日下午,四部委联合出台《网络借贷信息中介机构业务活动管理暂行办法》(以下简称《...

美上诉法院否认黑莓误导投资者裁决

美国第二巡回上诉法院今日驳回原告的上诉,维持地方法院之前的裁决,否认黑莓公司通过...

更多移动应用

Win10用户都能用全景拍摄

一个月前,微软面向Windows Insider项目成员发布支持全景拍摄模式的Windows 10 Mobile...

QQ8.6体验维护版本发布

距离QQ8.6首个体验版本放出一周时间,现在腾讯体验中心又放出了第二个维护版本,版本...

安卓牛轧糖MR1带来新甜品

虽然暂时还没有几款设备吃上,但Android 7.0 Nougat(牛轧糖)已经推出了推出了首个维...

更多手机游戏

《乌鸦森林之谜》三部曲之卡赫拉之影上架

《乌鸦森林之谜3:卡赫拉之影》是《乌鸦森林之谜》三部曲的最后一部,游戏中呈现了一......

《火影忍者》手游8月iOS新版本更新内容一览

火影忍者手游8月版本已经在安卓更新了,iOS预计将会在本周四上线,这次版本更新内容很......

《天天酷跑》克隆战版本全新坐骑宠物精灵曝

天天酷跑克隆战版本强势更新,在本次的克隆战版本中有众多新角色坐骑,当然游戏中非常......

芒果互娱开启游戏1+N营销新模式

芒果互娱携手湖南卫视、芒果TV于5月26日在北京举行了一场以“1+N,一起玩”为主题的游......