駭客利用 Apple 企業開發者證書於主流應用程式植入惡意程式碼

Apple 的 iOS 系統雖然比 Google 的 Android 系統封閉,對於可以安裝的應用程式也有更多的限制,不過亦存在一定的漏洞,讓不法分子有機可乘。最近路透社發現,有駭客利用 Apple 的認證系統製作惡意程式,植入主流應用程式中瞞天過海,帶來保安隱患。

路透社發現,現在有一些違法的軟件公司例如 TutuApp、Panda Helper、AppValley 和 TweakBox 利用了 Apple 原先提供予企業向員工提供內部應用程式的「企業開發者證書」,避開 App Store 的正規上架程序,向一般用家提供各種應用程式,包括常見的 Spotify、Angry Birds、Pokemon Go 等等,不過這些應用程式中就加入了惡意程式碼,用家在不知不覺中,手機可能就已經被入侵。

這個做法當然是違反了 Apple 的使用守則,因為企業開發者證書只可以用於公司內部,而不適用於向一般用家提供應用程式,更遑論這些是加入了惡意程式碼的修改版本。Apple 方面無法找出哪一部 iPhone 安裝了這些應用程式,但如果發現證書被濫用,則可以取消授權令證書無效,而 Apple 也打算在月內強制要求登入開發者帳戶時採用雙重認證,減低開發者帳戶被盜用的風險。

來源:Reuters