iOS最安全是假象
在iOS和Android的安全性對比上,很多人認為iOS比Android要安全。但事實上恰好相反。以色列Checkmarx公司在測試iOS和Android系統安全性中,發現iOS存在40%的高危漏洞,32%的中等風險漏洞,28%的低風險安全漏洞,而Android存在高安全風險的漏洞為36%,中等風險漏洞為25%,低風險漏洞為39%。在系統安全性上,Android比iOS更安全。
造成這種假象的原因是,iOS的應用必須從AppStore下載,而且上架前都會經過人工審核,病毒惡意軟件要想直接入侵iOS比較難。而Android的開放性讓應用有多種方式自由進入系統,監控的缺乏自然難以抵禦惡意程序和病毒的攻擊。然而限制軟件源以及人工審核是治標不治本的做法,iOS安全漏洞壹日沒有修復,壹日就有被攻擊的可能。
利用蘋果漏洞越獄
對於很多機油來說,蘋果越獄這東西並不陌生。蘋果越獄之後可以實現各種系統美化、添加插件、使用非AppStore源的破解版付費軟件等。但是大家細想,之所以能成功地實現蘋果越獄,是因為iOS本身存在著這樣或那樣的安全漏洞,越獄團隊獲取到這些蘋果漏洞後利用技術手段實現提權,進而獲取系統的最高權限,從而讓大家享受越獄後的福利。
難道就只有這些越獄團隊知道漏洞的存在?蘋果漏洞已被黑客或不法分子掌握的可能性很大,而且對於他們來說,發動iOS平臺攻擊可能只是壹個想不想的問題。
蘋果漏洞攻擊無需越獄
顯然利用蘋果漏洞進行攻擊並不是想想而已的事情,下面這幾個影響頗大的蘋果惡意軟件就是黑客們利用蘋果漏洞進行攻擊的“傑作”,而且無需越獄。
三叉戟漏洞(Pegasus),由NSOGroup開發的惡意軟件。以信息形式對用戶發送內容鏈接,鏈接指向可利用三個零日漏洞對手機進行攻擊操控的惡意軟件,壹旦惡意軟件成功進入iOS系統,黑客能遠程控制並獲取iPhone上的所有信息,包括聯系人、通訊錄、短信、微信、Skype等。移動安全軟件公司Lookout研究副總裁表示:“基本上只需在iPhone上點擊壹下鏈接就能越獄。”
王牌欺詐者(AceDeceiver),無需越獄利用蘋果FairPlayDRM保護機制漏洞的iOS惡意軟件。該惡意軟件能偽裝成可提供免費應用的第三方市場,誘導用戶輸入AppleID和密碼,並將相關信息上傳到AceDeceiver服務器。通過利用FairPlay中間人攻擊技術,攔截並儲存經過蘋果驗證的應用購買權限代碼。用戶壹旦把iPhone或iPad接入安裝有惡意軟件PC端的電腦,軟件欺騙蘋果設備安裝未購買的應用的同時,在設備上安裝其他惡意軟件。
X特工(XAgent),由ATP28黑客組織開發的惡意軟件。以網頁形式“點擊此處安裝應用程序”的誘導鏈接出現,用戶在點擊鏈接後,惡意軟件會通過蘋果為企業和開發者部署應用設置的特別通道實現安裝,直接繞過AppStore。XAgent無需越獄即可獲取用戶的信息,傳輸至遠程服務器上。
Windows中招,蘋果也不蛋定
150多個國家30多萬Windows電腦遭到WannaCry勒索病毒入侵,造成了壹定時期的恐慌。蘋果似乎因此提高了安全警惕,在WannaCry病毒入侵第四天推出安全更新,iOS安全漏洞修復數量達到23個。安全專家發現,在這批修復的iOS漏洞中,有壹個蘋果漏洞能讓黑客直接讀取包括用戶的密碼和機密信息這些受保護數據。
iOS最安全?看完這篇內容還這麽天真嗎?無論是Windows、Android還是iOS,都存在已知或未知的安全漏洞。畢竟人無完人,何況操作系統都是人為開發的。漏洞的存在可以理解,但無論是哪個平臺都希望能夠盡早地發現和修補漏洞,以免重蹈覆轍,讓用戶蒙受損失。