在2013年的WWDC开发者大会上,苹果宣布其Lion系统下特有的新功能AirDrop可支持iOS设备,iPhone之间也可实现共享传输功能,为用户带来了快速传输文件的便利条件。不过近日,外国安全研究人员Mark Dowd在iOS和OS X系统中发现了一个漏洞,这个漏洞可被用于向设备推送安装恶意应用。
根据Mark Dowd的实验发现,AirDrop的这个漏洞可以使攻击者绕过询问某款App是否可以信任安装的权限,即使用户并没有选择接受该文件、并且也没有许可或通知的情况下,恶意软件就可被安装在设备上。也就是说,通过AirDrop漏洞,设备可能会在用户毫不知情的情况下就被悄悄安装了某些恶意软件,除了会给设备带来一定的安全威胁之外,也着实给用户带来了不小的麻烦。
Dowd利用自己的苹果企业证书创建了一款测试应用,然后顺利地让它在任意设备上运行。通过一个企业配置文件,其能够绕过代码签名保护并安装应用,而不出现任何的提示。
Dowd还表示,虽然恶意软件安装时并没有提示,但是AirDrop在向设备推送文件时会在设备上弹出一个提示,让用户选择接收与否,用户必须解锁手机以选择是否拒绝,不过通过这个楼同,就算用户拒绝接收也无济于事,因为在软件被推送过来的时候,AirDrop的这个漏洞就已经被触发了。
就该漏洞的问题,Dowd在视频中利用iOS 8.4.1版本的系统,向大家演示了 AirDrop 漏洞入侵的全过程,该漏洞除了能够在未经用户许可的情况下安装应用外,还可用于覆盖写入iOS和 OS X中的文件,对用户的设备安全造成了很大的威胁。
Dowd表示已经向苹果汇报了这一漏洞的存在,除了iOS 8系统之外,本月16号开始,苹果已经陆陆续续向全球推送了iOS 9操作系统,在最新的iOS 9系统中,该AirDrop的漏洞依然存在,苹果公司仍未对其进行修复。
目前苹果方面并没有正面回应该漏洞的相关问题。
无论是iOS还是OS X,苹果的系统一直以来给人的印象都是相对安全的,不过,近两年苹果设备的各种漏洞事件频发,一方面说明苹果的设备并没有想象中的那么安全,另一方面说明苹果系统越来越普及、愈加受关注了,以至很多人都开始研究苹果系统,作为一款操作系统,Bug和漏洞是难免的事情,只希望苹果会更加关注漏洞问题,为用户提供更安全的操作环境。
