在 2013 年的 WWDC 开发者大会上,苹果宣布其 Lion 系统下特有的新功能 AirDrop 可支援 iOS 装置,iPhone 之间也可实现共享传输功能,为用户带来了快速传输文件的便利条件。不过近日,外国安全研究人员 Mark Dowd 在 iOS 和 OS X 系统中发现了一个漏洞,这个漏洞可被用于向设备推送安装恶意应用软件。
根据 Mark Dowd 的实验发现,AirDrop 的这个漏洞可以使攻击者绕过询问某款 App 是否可以信任安装的权限,即使用户并没有选择接受该文件、并且也没有许可或通知的情况下,恶意软件就可被安装在设备上。也就是说,透过 AirDrop 漏洞,装置可能会在用户毫不知情的情况下,就被悄悄安装了某些恶意软件,除了会给装置带来一定的安全威胁之外,也着实给用户带来了不小的麻烦。
Dowd 利用自己的苹果企业证书创建了一款测试应用程序,然后顺利地让它在任意装置上运行。透过一个企业配置文件,其能够绕过代码签名保护并安装应用,而不出现任何的提示。
Dowd 还表示,虽然恶意软件安装时并没有提示,但是 AirDrop 在向装置推送文件时会在设备上弹出一个提示,让用户选择接收与否,用户必须解锁手机以选择是否拒绝,不过透过这个提醒,就算用户拒绝接收也无济于事,因为在软件被推送过来的时候,AirDrop 的这个漏洞就已经被触发了。
就该漏洞的问题,Dowd 在影片中利用 iOS 8.4.1 版本的系统,向大家展示了 AirDrop 漏洞入侵的全过程,该漏洞除了能够在未经用户许可的情况下安装应用程序外,还可用于覆盖写入 iOS 和 OS X 中的文件,对用户的装置安全造成了很大的威胁。
Dowd 表示已经向苹果汇报了这一漏洞的存在,除了 iOS 8 系统之外,本月 16 日开始,苹果已经陆陆续续向全球推送了 iOS 9 操作系统,在最新的 iOS 9 系统中,苹果添加了相应的措施,限制了 AirDrop 的访问,增加了相对安全性,该漏洞并没有被彻底解决。不过,建议大家升级至 iOS 9 或关闭 AirDrop 以确保设备安全。
目前苹果方面并没有正面回应该漏洞的相关问题。
无论是 iOS 还是 OS X,苹果的系统一直以来给人的印象都是相对安全的,不过,近两年苹果装置的各种漏洞事件频发,一方面说明苹果的设备并没有想像中的那么安全,另一方面说明苹果系统越来越普及、愈加受关注了,以至很多人都开始研究苹果系统,做为一款操作系统,Bug 和漏洞是难免的事情,只希望苹果会更加关注漏洞问题,为用户提供更安全的操作环境。
(本文由 雷锋网 授权转载)
