AppStore出現漏洞 用戶隱私遭遇大規模泄漏，一般來說所有的app上架商店的時候都會經過蘋果的嚴格審查，不過蘋果的審查也并非是萬能的，今日就曝光了一個針對蘋果設備隱私的漏洞，已有數千款應用中招。

[[162717]]

FireEye稱，在蘋果iOS應用商店內有1220款應用可能會受此影響。FireEye未透露這些應用的具體名稱，但其已通知了這些應用的開發商。FireEye警告稱，盡管JSPatch技術對于iOS開發十分有用，但如果被黑客利用，可能給用戶帶來巨大風險。

據悉，開源軟件JSPatch上存在的安全漏洞，可致黑客隨意訪問用戶設備當中的照片、麥克風和剪貼板數據以及其他涉及個人隱私的功能。

JSPatch框架

開源工具JSPatch最初來自中國。自2015年發布后在中國市場備受青睞，許多受歡迎和備受矚目的中文蘋果應用程序都使用了這一技術，但FireEye發現，中國之外的開發商也都使用了這一技術框架。

FireEye指出，JSPatch框架可以使攻擊者有效規避蘋果應用商店的審查程序，并使攻擊者在受害設備上肆意強制執行程序，而任何反病毒工具都很難捕獲該框架代碼。

FireEye 在一篇博客中稱，“JSPatch對于iOS開發者來說是一個福音。正確使用它，可以迅速和有效地部署補丁和更新代碼。但現實世界并非我們想象中的那樣完美，我們必須假設這一技術被壞人利用、用于意想不到的用途。具體來說，如果攻擊者能夠篡改JavaScript文件內容，那么其就可以以成功地對蘋果應用商店內的一個應用發動攻擊。”

FireEye稱，JSPatch是為數不多的幾款面向iOS開發者提供低成本修復應用之一。其他類似的幾款產品也存在類似潛在攻擊威脅。

如何規避漏洞

FireEye新興技術負責人喬什·戈德法布(Josh Goldfarb)表示，“狡猾的攻擊者可能會使用該技術框架，事先編寫一款合法且沒有惡意的應用，然后提交蘋果應用商店審核。一旦通過審核，將正式進入蘋果應用商店，它就能夠給設備發送非法惡意指令。”

至于如何規避JSPatch漏洞風險，戈德法布表示：“我的建議十分標準：只你需要，而且你了解、你信任的應用。謹防那些向你征求訪問權限的應用。記住，僅向那些你認為必須的應用提供訪問權限。”

其實對于iOS用戶而言，這并非首次遭遇大面積應用漏洞威脅。2015年10月，安全研究公司SourceDNA發現了數百款iOS在采集用戶的隱私信息，同時違反了蘋果的安全和隱私指南。而這僅距惡意代碼XcodeGhost對蘋果應用商店發動攻擊一個月后。

在解釋這一手機漏洞時，戈德法布稱：“移動設備是攻擊者比較青睞的攻擊目標，因為相對于筆記本電腦和臺式電腦而言，它們缺乏安全防護。未來我們將會看到，針對移動環境下的惡意攻擊越來越多。攻擊者會將注意力向金錢聚集的地方轉移，因此，我們將會看到更多針對移動設備的攻擊。”

蘋果AppStore中的應用出現漏洞也不是什么稀奇事，2015年就曾經曝光過一次大規模應用被植入木馬的事件，許多國內的應用開發者了被木馬感染的Xcode開發工具，導致包括網易云音樂在內的多款知名應用中招。