美國政府針對iOS用戶發出假面攻擊警告

日前資安公司FireEye揭露 iOS 裝置漏洞的「假面攻擊」（masque attack）手法後，美國國土安全部之下的電腦緊急事件回應小組（US-CERT）針對受影響的iOS 7.1.1、7.1.2、 8.0、 8.1及 8.1.1 beta裝置用戶發出警告。

「假面攻擊」漏洞與攻擊手法是由FireEye所揭露並命名，駭客能夠藉以將iOS裝置內的app偷偷置換成惡意程式，只有蘋果官方預載的app能夠免疫。CERT指出，這項攻擊利用iOS內未針對具有相同bundle identifier的應用執行憑證比對的安全漏洞，因此使用者可能受到駭客攻擊而安裝冒牌軟體，並取代正牌應用。不論iOS裝置是否越獄（jailbreak）都可能受到攻擊。

CERT表示，一旦受害裝置安裝了冒牌應用，可能模仿合法應用的登入介面竊取受害者的登入資料，或從本機存取敏感資料、對用戶裝置執行背景監控、獲取iOS裝置的根目錄權限，而且和正牌應用完全無異。

CERT提醒用戶，不要從蘋果App Store官網或公司網路之外的地方下載安裝應用，也不要在上網時按下跳出的第三方視窗。開啟應用時，如果iOS出現「未受信賴的應用開發商」（Untrusted App Developer）警示，就要按下「不信任」（Don’t Trust）鍵，並立即移除應用。（編譯/林妍溱）

相關連結：US-CERT安全通告；iOS出現假面攻擊漏洞：你的app就是駭客的app