曝苹果应用商店逾千款iOS应用存安全漏洞

2016.01.30 14:21:15 来源: 凤凰网科技 作者:凤凰网科技 ( 条评论 )
 

凤凰科技讯 北京时间1月30日消息,据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”、可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS应用处于黑客攻击危险之中。

苹果应用商店

FireEye称,在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称,但其已通知了这些应用的开发商。FireEye警告称,尽管JSPatch技术对于iOS开发十分有用,但如果被黑客利用,可能给用户带来巨大风险。

据悉,开源软件JSPatch上存在的安全漏洞,可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

JSPatch框架

开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐,许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术,但FireEye发现,中国之外的开发商也都使用了这一技术框架。

FireEye指出,JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序,并使攻击者在受害设备上肆意强制执行程序,而任何反病毒工具都很难捕获该框架代码。

FireEye在一篇博客中称,“JSPatch对于iOS开发者来说是一个福音。正确使用它,可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美,我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说,如果攻击者能够篡改JavaScript文件内容,那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

FireEye称,JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

如何规避漏洞

FireEye新兴技术负责人乔什·戈德法布(Josh Goldfarb)表示,“狡猾的攻击者可能会使用该技术框架,事先编写一款合法且没有恶意的应用,然后提交苹果应用商店审核。一旦通过审核,将正式进入苹果应用商店,它就能够给设备发送非法恶意指令。”

至于如何规避JSPatch漏洞风险,戈德法布表示:“我的建议十分标准:只下载你需要,而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住,仅向那些你认为必须的应用提供访问权限。”

其实对于iOS用户而言,这并非首次遭遇大面积应用漏洞威胁。2015年10月,安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息,同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

在解释这一手机漏洞时,戈德法布称:“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑而言,它们缺乏安全防护。未来我们将会看到,针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移,因此,我们将会看到更多针对移动设备的攻击。”

广告 aliyun
标签: 苹果应用商店 iOS应用 iOS应用漏洞 ( 责任编辑:卢田甜)
分享到
复制链接
打印

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

aly
 

(共有 条评论 ) 网友评论

()
发表评论:
  名字:   验证码: 获取验证码
同时转发到   

更多移动设备

华为nova 2首发评测

提起“中华酷联”,相信很多人都还记忆犹新。时隔多年,曾经一度称霸手机市场的四家手...

iPhone 8发布时间遭泄露

iPhone 8会推迟发布,从苹果最新的动作来看不会,应该还是锁定在9月份推出。据外媒iDr...

荣耀9手机渲染图曝光

最近荣耀9手机在电信设备认证中心官方网站上出现,这就意味着这款手机已经准备完成,...

更多移动互联

扎克伯格为FB的发展寻找灵感

美国《纽约时报》网络版今天撰文指出,Facebook CEO马克·扎克伯格(Mark Zuckerberg...

在富士康领导下 夏普结束连亏局面

北京时间5月26日晚间消息,在母公司富士康的领导下,夏普今日公布了一项雄心勃勃的计...

聚美陈欧:拟再向街电投资1亿美元

本月初,主营电商的聚美优品以3亿元人民币投资街电科技,陈欧出任街电董事长,聚美优...

更多移动应用

物联网版Win10支持Intel处理器

在本月初召开的Build 2017开发者大会上,微软宣布将会把Windows 10 IoT Core中的处理...

微信小程序可无限生成小程序码

今天凌晨,微信宣布小程序的能力再次升级。本次升级主要包括三大方面:小程序码的数量...

蚂蚁森林大改版 支付宝:种树好难!

5月24日,支付宝对蚂蚁森林进行了全新升级,加入了两种新树:沙柳、樟子松。不过想养...

更多手机游戏

《阴阳师》黑白童子儿童节皮肤曝光

阴阳师黑白童子新皮肤曝光,黑童子的黑之火鲤和白童子的青之水纹将在六一上架,下面为......

《大话西游》手游无差别PK赛说明

大话西游手游无差别PK赛今日报名正式开始,可能有的玩家对比赛时间、规则玩法都不太清......

《王者荣耀》刘邦德古拉伯爵皮肤即将推出

王者荣耀官网目前发布了邦德古拉伯爵皮肤预告,相信下周就会在正式服开卖了,下面为大......

《奇迹暖暖》新套装黎明之冠新月之吻

夜雾迷城活动2月22日5:00—2月28日23:59,本次活动新增套装黎明之冠新月之吻,下面为......