亞洲記者 游宣臨 陳忠澤
蘋果App Store對於下載應用程式的安全把關非常嚴格,以確保使用者下載程式時不會載到惡意程式。但日前一位資安專家Charlie Miller發現了漏洞,他自製了一個名為「InstaStock」的程式。看似普通股市軟體的InstaStock,如下載該程式到裝置並執行後,會暗中連線到駭客家中的伺服器,這時便能自由下載新的程式碼。
InstaStock還可遠端遙控受害者之手機並在使用者毫無察覺下竊取資訊,對於使用者的隱私甚至於工作場所的重要機密資訊造成非常大的威脅。
InstaStock 能夠通過安全認證主要原因是這程式本身並無夾帶任何惡意程式碼,而是從外部下載的,因此容易遭有心人士利用。Charlie Miller已向蘋果透漏此瑕疵,得知此事的蘋果也以將「InstaStock」迅速下架。但期間若被不法人士利用,只能請使用者多加注意。並另有展示影片顯現出此程式的危險性。
Charlie Miller也將於今年11月中在台北舉辦的資安技術研討會中展示這個漏洞並敘述該程式運作原理。
沒有留言:
張貼留言