苹果iOS新漏洞可恶意监控用户触摸输入行为

admin

　　这几天我们一直在跟踪报道有关iOS漏洞的新闻，谁知一波未平一波又起。昨日知名科技博客 Ars Technica 报道，安全机构FireEye的研究人员日前在 iOS 系统上发现了一个新的安全漏洞，并且指出该漏洞直接影响用户的使用安全，甚至泄露数据。该漏洞有可能导致恶意应用程序在后台监视和记录用户的触摸输入以及实体按键的使用。通过iOS 系统上多任务处理功能的缺陷来捕获用户的输入，并允许它们发送到一台远程服务器上。

　　研究人员创建了一个概念验证监测应用程序，并成功有效地“绕开”了苹果的 App Store Review 进程。一旦应用被安装在 iOS 设备上，用户的操作包括键盘输入、音量/Home/电源等实体按键、含精确坐标的触摸屏以及 Touch ID 认证事件等都将可以被程序捕获。研究人员还指出，禁用 iOS 7 系统上的“后台程序刷新”设置也不能禁止恶意应用程序记录数据，而目前唯一的解决办法是从任务切换中手动删除应用程序。

　　FireEye对当前的 iOS 版本中被发现的缺陷描述如下：

　　“这个演示在一台搭载最新 iOS 7.0.4 系统未越狱的 iPhone 5s 设备上获得成功，我们已经验证核实，在其他 iOS 7.0.5、7.0.6 以及 6.1.x 版本上都存在着相同的漏洞。根据调查结果，潜在的攻击者可以利用网络钓鱼误导用户安装恶意/易受攻击的应用程序，或者会利用某些应用程序的另一种远程漏洞，然后进行后台监控。”

　　该安全机构表示，他们正积极与苹果公司寻求合作来解决这个问题，但苹果方面尚未作出回应。这一最新漏洞的爆出距离苹果上周发布的针对 SSL 漏洞修复的 iOS 7.0.6 版本更新不过短短几天，我们期待苹果会尽快作出回应。