FireEye安全專家周二(2/25)公佈 iOS 7 最新一項漏洞,該漏洞讓駭客可以側錄使用iPhone觸控螢幕或按鍵的動作。

之前已有惡意程式曾經成功針對越獄過的iOS裝置進行背景監控,即利用iOS多工能力,並利用背景運作方式,將蒐集到的資料傳到外部遠端伺服器。但FireEye發現的這項漏洞,使未越獄過的iOS 7裝置也一樣可能遭植入惡意程式。

FireEye研究人員設計了可執行在iOS 7.0.4未越獄裝置的概念驗證程式,結果真的能在背景執行下記錄使用者在觸控螢幕上滑動、按Home鍵、音量調節鍵,及指紋辨識感應器TouchID的動作,有如PC上的鍵盤側錄程式一樣,而且還能將所有資訊傳到遠端伺服器。有心人士就可以利用這些資訊來重建出使用者按鍵或輸入內容。

安全研究人員指出,除了7.0.4版,iOS 7.0.5, 7.0.6及6.1.x也都存在同樣漏洞。只要駭客以利用網釣手法誘騙使用者下載,或是入侵系統某些應用的其他漏洞就可以得逞。

FireEye並未清楚說明該漏洞的細節,只表示已和蘋果合作解決方式。並指出,iOS 7提供背景應用程式重新整理(background app refresh)的設定,使用者雖可以關閉不必要應用的背景重新整理,但仍然會有遺漏狀況,例如即使不啟動背景重新整理,某些應用還是可以播放音樂,則惡意程式可透過偽裝成音樂檔進行背景監控。因此在蘋果修補這項漏洞前,iOS用戶免於風險的唯一辦法是利用iOS任務管理員,阻止任何應用背景執行。

使用者可以按Home鍵二次開啟任務管理員,就會看到執行中應用的預覽畫面,然後把應用自預覽模式叫出,以關閉可疑的背景運作。

上周五蘋果iOS才傳出一項因為goto fail指令導致的重大SSL/TLS驗證機制漏洞,使蘋果緊急釋出更新版iOS 7.0.6來修補之。(編譯/林妍溱)

 


Advertisement

更多 iThome相關內容