据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”、可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS应用处于黑客攻击危险之中。FireEye称,在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称,但其已通知了这些应用的开发商。FireEye警告称,尽管JSPatch技术对于iOS开发十分有用,但如果被黑客利用,可能给用户带来巨大风险。

  据悉,开源软件JSPatch上存在的安全漏洞,可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

JSPatch框架

  开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐,许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术,但FireEye发现,中国之外的开发商也都使用了这一技术框架。

  FireEye指出,JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序,并使攻击者在受害设备上肆意强制执行程序,而任何反病毒工具都很难捕获该框架代码。

  FireEye在一篇博客中称,“JSPatch对于iOS开发者来说是一个福音。正确使用它,可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美,我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说,如果攻击者能够篡改JavaScript文件内容,那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

  FireEye称,JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

如何规避漏洞

  FireEye新兴技术负责人乔什·戈德法布(Josh Goldfarb)表示,“狡猾的攻击者可能会使用该技术框架,事先编写一款合法且没有恶意的应用,然后提交苹果应用商店审核。一旦通过审核,将正式进入苹果应用商店,它就能够给设备发送非法恶意指令。”

  至于如何规避JSPatch漏洞风险,戈德法布表示:“我的建议十分标准:只下载你需要,而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住,仅向那些你认为必须的应用提供访问权限。”

  其实对于iOS用户而言,这并非首次遭遇大面积应用漏洞威胁。2015年10月,安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息,同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

  在解释这一手机漏洞时,戈德法布称:“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑而言,它们缺乏安全防护。未来我们将会看到,针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移,因此,我们将会看到更多针对移动设备的攻击。”

访问:苹果在线商店(中国)

苹果应用商店逾千款iOS应用存安全漏洞的更多相关文章

  1. 【曝】苹果应用商店逾千款iOS应用存安全漏洞

    据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”.可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS ...

  2. 全球首款iOS模拟器出炉!在违法的边缘疯狂试探

    对于许多智能手机用户,特别是手游玩家来说,在手机屏幕的方寸之间进行操作显然并非特别方便,而且在多年之前,由于手机配置不足,也导致了用PC来玩手游的需求不断涌现.彼时,BlueStacks及夜神等一众A ...

  3. 苹果应用商店AppStore审核规则指南

    http://www.zesmob.com/blog/40161.html 新应用上架苹果AppStore或重大版本更新时,往往会被拒多次,造成审核不通过的原因,主要是因为对苹果应用商店AppStor ...

  4. 从Google Play下载应用并不安全,上千款监视软件伪装其中

    如果你认为在官方应用市场里下载app就觉得安全的话,小编可以负责任的回答你:"too young too simple,sometimes native" 今年4月,BankBot ...

  5. 转:苹果应用商店DNS修改加快下载速度

    苹果应用商店DNS修改加快下载速度 具体方法:依次点击进入[设置]→[无线局域网]→[WiFi网络右侧小i图标]→更改DNS地址,可以按照自身需求选择以下某个DNS进行更换. OpenDNS:208. ...

  6. 开源一款iOS中国地图行政区控件(含一级与二级行政区)

    开源一款iOS版中国省市级地图行政区的控件,该组件可以支持拖动.缩放以及全国省和市级行政区的点选,主要适用于iPad,如果要在iPhone上使用,一些细节可能得做相关调整. 该地图组件实现起来不难,数 ...

  7. 如何快速分析一款ios软件或需求的大流程,然后在业务层实现,不牵扯到界面?

    如何快速分析一款ios软件或需求的大流程,然后在业务层实现,不牵扯到界面?

  8. 黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结

    黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结 作者:蒸米,耀刺,黑雪 @ Team OverSky 0x00 序 iOS的安全性远比大家的想象中脆弱,除了没有公开的漏洞以外,还有很多已经公开 ...

  9. iOS URL Schemes与漏洞的碰撞组合

    iOS URL Schemes与漏洞的碰撞组合 前言 iOS URL Schemes,这个单词对于大多数人来说可能有些陌生,但是类似下面这张图的提示大部分人应该都经常看见: 今天要探究的就是:了解iO ...

随机推荐

  1. python基础一 ------如何根据字典值对字典进行"排序"

    需求:{姓名:成绩} 的字典,按成绩进行排序 方法一:转化为元组,(91,"张三")的形式 ,用sorted()函数进行排序 方法二 :设置sorted() 中key的参数的值 # ...

  2. Android软件设计规范---命名规则/代码包设计规则等

    如果你将源码作为产品发布,就需要确认它是否被很好地打包并且清晰无误,一如你已构建的其他任何产品. 作为软件设计师,代码即是产品:不仅需要实现功能,还需有“优美.大方”的外表. 标识符命名法,标识符命名 ...

  3. me 云面试

    元祖的特点: 1.元组内的元素,不可以增加,删除,只能访问,这个是元祖的特性,比较安全.类似于字符串.但是我们可以对整个元祖进行删除.使用del内置函数 2.当元祖内只有一个元素的时候,需要加逗号消除 ...

  4. JavaScript中date 对象常用方法

    Date 对象 Date 对象用于处理日期和时间. //创建 Date 对象的语法: var datetime = new Date();//Date 对象会自动把当前日期和时间保存为其初始值. co ...

  5. Java 读取 txt 文件内容到容器 List

    方法一: 一.桌面上准备 DataObject.txt 文件,内容为: 二.打开 Eclipse,编写代码如下: import java.io.BufferedReader; import java. ...

  6. Tornado-cookie

    cookie 服务端在客户端的中写一个字符串,下一次客户端再访问时只要携带该字符串,就认为其是合法用户. tornado中的cookie有两种,一种是未加密的,一种是加密的,并且可以配置生效域名.路径 ...

  7. 设备树(device tree)学习笔记

    作者信息 作者:彭东林 邮箱:pengdonglin137@163.com 1.反编译设备树 在设备树学习的时候,如果可以看到最终生成的设备树的内容,对于我们学习设备树以及分析问题有很大帮助.这里我们 ...

  8. python测试开发django-56.模板渲染markdown语法+代码高亮

    前言 上一篇已经实现在xadmin后台编辑markdown语法的文档,编辑完成之后发布博客,在前端html能把markdown语法显示出来. 主要思路是先从数据库把markdown的代码读出来,导入m ...

  9. 解决错误:Your ApplicationContext is unlikely to start due to a @ComponentScan of the default package.

    原因是代码直接放在默认包里边,比如src\main\java目录下 应该在src\main\java下建立子目录,比如src\main\java\com\test 这样的话,代码就在com.test这 ...

  10. 时间格式yyyyMMddHHmmss的大小写,和字母含义

    字母     日期或时间元素 表示 示例 G Era 标志符 Text AD y 年 Year 1996 ; 96 M 年中的月份 Month July ; Jul ; 07 w 年中的周数 Numb ...