在2013年的WWDC開發者大會上,蘋果宣佈其Lion系統下特有的新功能AirDrop可支持iOS設備,iPhone之間也可實現共享傳輸功能,為用户帶來了快速傳輸文件的便利條件。不過近日,外國安全研究人員Mark Dowd在iOS和OS X系統中發現了一個漏洞,這個漏洞可被用於向設備推送安裝惡意應用。
根據Mark Dowd的實驗發現,AirDrop的這個漏洞可以使攻擊者繞過詢問某款App是否可以信任安裝的權限,即使用户並沒有選擇接受該文件、並且也沒有許可或通知的情況下,惡意軟件就可被安裝在設備上。也就是説,通過AirDrop漏洞,設備可能會在用户毫不知情的情況下就被悄悄安裝了某些惡意軟件,除了會給設備帶來一定的安全威脅之外,也着實給用户帶來了不小的麻煩。
Dowd利用自己的蘋果企業證書創建了一款測試應用,然後順利地讓它在任意設備上運行。通過一個企業配置文件,其能夠繞過代碼簽名保護並安裝應用,而不出現任何的提示。
Dowd還表示,雖然惡意軟件安裝時並沒有提示,但是AirDrop在向設備推送文件時會在設備上彈出一個提示,讓用户選擇接收與否,用户必須解鎖手機以選擇是否拒絕,不過通過這個樓同,就算用户拒絕接收也無濟於事,因為在軟件被推送過來的時候,AirDrop的這個漏洞就已經被觸發了。
就該漏洞的問題,Dowd在視頻中利用iOS 8.4.1版本的系統,向大家演示了 AirDrop 漏洞入侵的全過程,該漏洞除了能夠在未經用户許可的情況下安裝應用外,還可用於覆蓋寫入iOS和 OS X中的文件,對用户的設備安全造成了很大的威脅。
Dowd表示已經向蘋果彙報了這一漏洞的存在,除了iOS 8系統之外,本月16號開始,蘋果已經陸陸續續向全球推送了iOS 9操作系統,在最新的iOS 9系統中,該AirDrop的漏洞依然存在,蘋果公司仍未對其進行修復。
目前蘋果方面並沒有正面迴應該漏洞的相關問題。
無論是iOS還是OS X,蘋果的系統一直以來給人的印象都是相對安全的,不過,近兩年蘋果設備的各種漏洞事件頻發,一方面説明蘋果的設備並沒有想象中的那麼安全,另一方面説明蘋果系統越來越普及、愈加受關注了,以至很多人都開始研究蘋果系統,作為一款操作系統,Bug和漏洞是難免的事情,只希望蘋果會更加關注漏洞問題,為用户提供更安全的操作環境。
資料來源:雷鋒網
作者/編輯:趙悟空
請按此登錄後留言。未成為會員? 立即註冊