|
||||
一直以來,苹果App Store在擁有海量應用程序的同時,采取了極其嚴格的審查,具備了其他智能系統所不具備的高安全系數。不幸的是,“果粉”們的好日子或許就要到頭了,黑客查理·米勒發現了iOS的最新漏洞,可以逃避審查進駐APP Store。360手機安全專家告誡苹果用戶,近期從App Store下載軟件時,應盡量選擇正規廠商或作者的應用。
據《福布斯》網站報道,目前,只有得到苹果授權的指令纔能在iOS設備的內存中運行,但米勒已經成功地利用了iOS最新漏洞開發出一款名為“Instastock”的惡意程序,上傳到苹果App Store應用商店,並通過了苹果的安全審批。該程序可以自動向米勒家中的電腦打電話並下載未經授權的指令到iOS設備上,這些指令可以竊取用戶圖片、通訊錄或讓iOS設備震動或播放聲音。
米勒表示:“由於這個bug的存在,用戶再也不能保證他們通過App Store下載的程序中不包含惡意代碼了。”
圖1:黑客查理·米勒發現iOS的最新漏洞
360手機安全專家分析:“該漏洞利用了一段java script腳本,可以引發iOS內存泄露等異常,而後應用程序就將獲得限運行未簽名代碼,從而進行一些惡意的行為:比如回傳用戶的通訊錄、短信、照片,甚至可以盜取用戶的APP Store的賬號密碼。此外,該漏洞還同樣適用於苹果最新的iOS5系統。”
目前,米勒已被苹果逐出iOS開發社區,其開發的惡意程序也已下架,苹果還未針對此漏洞發布補丁。360手機安全專家提醒苹果用戶,在瀏覽APP Store時,應盡量選擇正規廠商或作者的應用,不要輕易下載看起來就很山寨或者不知名的軟件;也可以通過360寶盒下載應用,所有程序均經過360人工安全檢測,可以保證綠色無毒。
圖2:360寶盒內應用程序均經過人工安全檢測,保證綠色無毒