蘋果應用商店逾千款iOS應用存安全漏洞

　　據國外網站Ibtimes報道，知名網絡安全公司FireEye日前警告稱，因爲一款名爲「JSPatch」、可幫助開發者修改應用程序的軟件上存在安全漏洞，致使蘋果應用商店內1000多款使用了該框架的iOS應用處於黑客攻擊危險之中。FireEye稱，在蘋果iOS應用商店內有1220款應用可能會受此影響。FireEye未透露這些應用的具體名稱，但其已通知了這些應用的開發商。FireEye警告稱，儘管JSPatch技術對於iOS開發十分有用，但若是被黑客利用，可能給用戶帶來巨大風險。

 

 

　　據悉，開源軟件JSPatch上存在的安全漏洞，可致黑客隨意訪問用戶設備當中的照片、麥克風和剪貼板數據以及其餘涉及我的隱私的功能。

 

JSPatch框架

　　開源工具JSPatch最初來自中國。自2015年發佈後在中國市場備受青睞，許多受歡迎和備受矚目的中文蘋果應用程序都使用了這一技術，但FireEye發現，中國以外的開發商也都使用了這一技術框架。

　　FireEye指出，JSPatch框架可使攻擊者有效規避蘋果應用商店的審查程序，並使攻擊者在受害設備上肆意強制執行程序，而任何反病毒工具都很難捕獲該框架代碼。

　　FireEye在一篇博客中稱，「JSPatch對於iOS開發者來講是一個福音。正確使用它，能夠迅速和有效地部署補丁和更新代碼。但現實世界並不是咱們想象中的那樣完美，咱們必須假設這一技術被壞人利用、用於意想不到的用途。具體來講，若是攻擊者可以篡改JavaScript文件內容，那麼其就能夠以成功地對蘋果應用商店內的一個應用發動攻擊。」

　　FireEye稱，JSPatch是爲數很少的幾款面向iOS開發者提供低成本修復應用之一。其餘相似的幾款產品也存在相似潛在攻擊威脅。

如何規避漏洞

　　FireEye新興技術負責人喬什·戈德法布（Josh Goldfarb）表示，「狡猾的攻擊者可能會使用該技術框架，事先編寫一款合法且沒有惡意的應用，而後提交蘋果應用商店審覈。一旦經過審覈，將正式進入蘋果應用商店，它就可以給設備發送非法惡意指令。」

　　至於如何規避JSPatch漏洞風險，戈德法布表示：「個人建議十分標準：只下載你須要，並且你瞭解、你信任的應用。謹防那些向你徵求訪問權限的應用。記住，僅向那些你認爲必須的應用提供訪問權限。」

　　其實對於iOS用戶而言，這並不是首次遭遇大面積應用漏洞威脅。2015年10月，安全研究公司SourceDNA發現了數百款iOS在採集用戶的隱私信息，同時違反了蘋果的安全和隱私指南。而這僅距惡意代碼XcodeGhost對蘋果應用商店發動攻擊一個月後。

　　在解釋這一手機漏洞時，戈德法布稱：「移動設備是攻擊者比較青睞的攻擊目標，由於相對於筆記本電腦和臺式電腦而言，它們缺少安全防禦。將來咱們將會看到，針對移動環境下的惡意攻擊愈來愈多。攻擊者會將注意力向金錢彙集的地方轉移，所以，咱們將會看到更多針對移動設備的攻擊。」

訪問:蘋果在線商店(中國)