蘋果 AirDrop 漏洞可讓人植入惡意程式 iOS 9 可改善問題

蘋果的 AirDrop 功能可以讓用家透過 iPhone 把相片分享給其他的 iPhone 用家。但最近這個功能的漏洞被揭發,別人可以藉此悄悄地安裝惡意程式到 iPhone 中,因此用家應更新至 iOS 9 防止漏洞發生。

蘋果的 AirDrop 功能可以讓用家透過 iPhone 把相片分享給其他的 iPhone 用家。但最近這個功能的漏洞被揭發,別人可以藉此悄悄地安裝惡意程式到 iPhone 中,因此用家應更新至 iOS 9 防止漏洞發生。

 

AirDrop 是內建於 iOS 和 Mac OS X 的檔案分享功能。然而,研究人員 Mark Dowd 發現當中有嚴重漏洞。攻擊者可以把有問題的檔案傳送到受害者的裝置,然後控制 iPhone,即使受害者拒絕接收也會中招。以下是示範影片。

受害者重新開機後,惡意程式就會發作。它能夠接觸負責管理手機主頁的 Springboard,從而使 iPhone 誤以為惡意程式享有與正常程式相同的權限,例如接觸連絡人資料、相機、訊息、地址等。此外,攻擊者用了 Apple enterprise certificate,所以安裝程式時不會彈出告示。如此一來,如果攻擊者更熟練的話,便可以透過無線網絡於近距離攻擊,並對受害者的裝置造成嚴重破壞。

漏洞出現在 iOS 7 之後所有支援 AirDrop 的版本,以及 Yosemite 之後的 Mac OS X。蘋果在推出 iOS 9 中已針對這個問題作出改善,但 Dowd 指問題仍未有徹底解決。但無論如何,更新 iOS 是避免攻擊的唯一辦法。至於Mac就要等到 10.11 El Capitan 推出才可。

Source : The Hacker News