根据知名科技博客Ars Technica报道,安全机构FireEye的研究人员日前透露,他们在iOS系统上发现了一个新的安全漏洞,该漏洞能够允许恶意应用程序在后台监视和记录用户的触摸输入以及实体按键的使用。据悉,该漏洞据称是利用iOS系统上多任务处理功能的一个缺陷来捕获用户的输入,并允许它们发送到一台远程服务器上。
为了演示这个漏洞,研究人员创建了一个概念验证监测应用程序,采用方法有效地“绕开”了苹果的App Store Review进程。一旦应用被安装在iOS设备上,用户的操作包括键盘输入、音量/Home/电源等实体按键、含精确坐标的触摸屏以及Touch ID认证事件等都将可以被程序捕获。研究人员还指出,禁用iOS 7系统上的“后台程序刷新”设置也不能禁止恶意应用程序记录数据,而目前唯一的解决办法是从任务切换中手动删除应用程序。
FireEye对当前的iOS版本中被发现的缺陷描述如下:
“这个演示在一台搭载最新iOS 7.0.4系统未越狱的iPhone 5s设备上获得成功,我们已经验证核实,在其他iOS 7.0.5、7.0.6 以及6.1.x版本上都存在着相同的漏洞。根据调查结果,潜在的攻击者可以利用网络钓鱼误导用户安装恶意/易受攻击的应用程序,或者会利用某些应用程序的另一种远程漏洞,然后进行后台监控。”
该安全机构表示,他们正积极与苹果公司寻求合作来解决这个问题,但苹果方面尚未作出回应。这一最新漏洞的爆出距离苹果上周发布的针对SSL漏洞修复的iOS 7.0.6版本更新不过短短几天,我们期待苹果会尽快作出回应。