1.媒體來源:
蕃新聞
2.完整新聞標題:
注意《蘋果APP駭客攻擊》教你防範與解決這一波竊取個資的攻擊
3.完整新聞內文:
之前我們才剛報過蘋果病毒 WireLurker 要如何檢測與移除,沒想到才過沒幾天,行動資
安業者 FireEye 就出來告訴大家,又出現了蘋果 APP 駭客攻擊。我只是個想好好用手機
的平常百姓,真的很希望不要再出現攻擊事件了啦。這次的攻擊事件被取名為「假面
APP 攻擊」,被攻擊之後,就會陷入被竊取個資的危險,所以請大家務必要小心啊。
攻擊對象
蘋果 iOS 系統(版本 7.1.1, 7.1.2, 8.0, 8.1 and 8.1.1 beta),即蘋果 iPhone 及
iPad 用戶。不管有沒有 JB 越獄都會被攻擊。
攻擊方法
先想辦法讓 iPhone 和 iPad 戶下載假的 app,例如,透過簡訊或 email,給用戶一個網
頁連結,說按連結就可以下載或更新 app。如果你真的按下這個連結,就會跳出一個視窗
問你是否確定要下載,按「下載」的話,就會載到一個假面 app,但是你不會發現,因為
這個假的 app 會取代你目前 iPhone 或 iPad 裡的正牌 app!聽起來有沒有很討厭(皺
眉)。除了原本內建的基本 app 以外(像是 Safari),全部其他的 app 都可以被取代
掉。之後駭客就可以利用假面 app 來竊取收集你的個資,真的非常危險。
攻擊範例
第一個範例是 FireEye 提供的,用戶收到一個簡訊,說可以下載最新版的 Flappy Bird
遊戲,按了簡訊裡的連結,跳出一個視窗問是否確定要下載,按「下載」之後,假面
app 就取代了 Gmail app。接下來,這個假面 app 就秘密地把所有的 email 信件,全
部連結到駭客的伺服器。另一個範例是 CBS 新聞提供的,用戶是收到一封 email,告訴
他目前現有的銀行 app 有更新可以下載,他按下連結後,假面 app 就取代了他的銀行
app,當她使用這個 app 的時候,駭客就能竊取所有他輸入的資訊,像是帳號和密碼等
等。
解決方法
1. 絕對不要從 App Store 以外的地方,下載任何非官方提供的 app。
2. 如果不小心按了連結,跳出視窗問你是否要下載此 app,只要按「取消」就安全了。
3. 當你按下連結,也按下確認下載,也已經載到一個假面 app,那當你按下那個 app 的
時候,iOS 會跳出來一個提醒式窗「Untrusted App Developer(不受信任的應用開發者
)」,只要按下「Don't Trust(不信任)」,再移除假面 app 即可。接著就再到官方
Apple Store 去下載這個被刪除的 app 吧。
4. 若是你真的有下載過非官方來源的 app,又不知道是哪個 app 被駭,就只能把全部的
app 都刪除之後重新下載了(哭)。
祝大家都沒有被駭,記得以後不要下載非 Apple Store 的來源喔。
4.完整新聞連結 (或短網址):
http://n.yam.com/gamme/otaku/20141112/20141112680318.html
5.備註:
※ 一個人一天只能張貼一則新聞,被刪或自刪也算額度內,超貼者劣文,請注意