“苹果越狱不安全”,这是不少“果粉”常见的想法,但苹果手机没有越狱也是危险的。近日,国内漏洞发布平台乌云网发布消息,苹果iOS该系统存在漏洞,可导致非越狱iOS该设备的账户、密码和其他敏感信息被黑客窃取。出版商表示,支付宝、微信等手机应用程序可能会这样做“中招”。昨天,支付宝和微信分别回应说,软件已经升级,恶意软件将通过技术手段进行检测和拦截。
漏洞发布者“蒸米”描述称,iOS上面有漏洞,黑客可以通过URL Scheme(网址协议)劫持,可以在未越狱的苹果系统上窃取支付宝和微信支付的账号密码,目前***的iOS8.2这个漏洞在版本中还没有修复。由于漏洞是系统漏洞,影响了所有漏洞iOS包括支付宝等支付软件在内的应用。
腾讯手机管家安全专家陆兆华告诉记者,这个漏洞并不像网上传播那么神秘。事实上,许多业内人士和技术开发人员都知道这个漏洞。然而,由于产品的许多功能必须使用网页地址协议,许多人不得不选择继续使用。
网页地址协议是什么?陆兆华介绍说,这是移动应用程序从一个应用程序跳转到另一个应用程序的中间桥梁。例如,一些团购应用程序需要跳转到第三方支付工具的页面。因为苹果iOS该系统不保证响应的权限管理、校准和其他机制。黑客可以在用户操作不同应用程序之间跳转时插入恶意手机应用程序,生成伪装页面,诱导用户输入账户和密码。
昨日,微信方面回应说,经核实,微信此类恶意软件尚未发现,“为了避免漏洞的安全风险,我们通过技术手段应对漏洞,加强微信iOS实时监控和拦截恶意软件的防护措施。”
微信相关负责人表示,即使用户的微信账户信息被通过不法手段获取,在新设备登录时还需要通过手机短信验证,否则同样无法登录微信并使用微信支付。
支付宝昨天也回应说,已经升级了支付宝钱包,通过技术手段检测和拦截恶意软件。
如何从源头上把这个漏洞从源头上?“消灭”? 陆兆华说,苹果可以限制手机应用ID滥用以确保网络地址协议的安全。对于第三方软件,需要增加安全检测,如检测网页地址协议是否被劫持、获取网页地址协议处理顺序等,以防止自己被劫持。
陆兆华建议,在苹果官员修复这个漏洞之前,尽量不要安装来历不明的软件,尤其是企业证书软件。此外,还应开发良好的下载APP习惯,选择知名的手机应用,尽量在苹果应用商店下载,不管越狱与否。