5亿部iPhone易受攻击?这些安全隐患更应关注
近日,有安全研究机构公布了存在于iPhone/iPad邮件应用中的软件漏洞,认为其可能已被不法份子尤其是黑客暗中使用了8年之久,全球范围内约有5亿用户正面临此类安全风险。针对这一重大新闻,苹果发言人承认iPhone和iPad电子邮件应用存在漏洞,目前已开发修复程序,会在即将发布的更新中推出。
不只这些,有安全研究人员在近几个月内测试了苹果、微软、三星、华为和三家锁制造商提供的指纹认证,相关结果更让人担忧。假指纹能够以 80% 的成功率骗过你的手机,成功解锁。而这一比例是基于研究人员创造出的假指纹的设备所做的 20 次尝试得出的结果。
长久以来,苹果的操作系统(智能手机与平板的iOS以及PC与笔记本的macOS)在安全性方面一直有很高的评价,且该公司亦不断努力推出新的系统防护机制。有不少“果粉”认为,苹果的产品可以说是百“毒”不侵。不过,不法分子却非常积极地试图突破这些设备的安全机制,并在2019年开发出各式各样的相关威胁。
2019年,安全研究人员发现,以开发Android恶意程序为主的XLoader网络犯罪集团在去年开发出一种针对iPhone和iPad的攻击,试图诱骗使用者安装一个恶意的iOS组态设定文件来窃取设备上的数据。同时,安全人员也发现不法分子运用一种使用iOS网址的诈骗手法会侵犯使用者的隐私、让使用者遭遇帐单诈骗,以及不断看到弹出式广告。
另一个安全研究人员发的iOS重大威胁是有数百个博弈应用程序假扮成看似正派的应用程序来通过Apple App Store的审查。值得关注的是,这些应用程序当中有些还登上了App Store的100大排行榜,其中有的还累积了10万多笔评价。
在macOS方面,安全研究人员发现的主要威胁是漏洞和恶意程序变种,例如,macOS Mojave 10.14.3操作系统绘图驱动程序的一个漏洞(CVE-2019-8519)可能因缓冲区溢出(buffer overflow)或內存区段错误(segmentation fault)而使得黑客能够存取受保护的信息。另一个漏洞(CVE-2019-8635)则可能让黑客在macOS装置上将自己提升至系统管理员(root)权限来执行恶意代码。
除此之外,安全研究人员也发现一个macOS恶意程序变种会假扮成交易软件来诱骗受害者并窃取其个人资料。该变种疑似是「Lazarus」网络犯罪集团所开发的macOS后门程序,利用含有Microsoft Excel宏的试算表专门攻击韩文使用者。此后门程序除了一般恶意功能之外,还可上传和下载文件。
2019年还有一个值得注意的macOS恶意程序是「Shlayer」,它采用图象隐码术(Steganography,一种将程序代码暗藏在非加密文字或数据当中的手法)来将一段用来下载越权广告程序的脚本隐藏在一张图片当中。此外,安全研究人员也曾发现Shlayer还会随着另一个macOS恶意程序变种「Tarmac」植入系统当中,不法分子制作了假的软件更新来诱骗使用者下载。据统计,Shlayer是2019年macOS恶意程序家族排行榜的第一名,有超过36,000个非重复样本,其中将近30,000个出现在美国。
针对苹果相关产品已成为不法分子热衷的攻击对象,亚信安全建议,定期更新MacOS系统和应用程序,及时修补可被利用的漏洞,即可降低遭受此类威胁的风险。此外,下载软件和应用程序要通过官方站点和可信赖的应用程序商店,可以防止恶意威胁伪装成合法程序入侵系统。
文章来源: 亚信安全