iOS存安全漏洞，十億臺(tái)iPhone和iPad或受影響

谷歌請(qǐng)求法庭無視甲骨文版權(quán)案88億美元索賠;羅永浩致歉搜索關(guān)鍵詞投放;奇虎360私有化后預(yù)計(jì)將持股4.46%;微信發(fā)布電子發(fā)票解決方案，可在手機(jī)上刮獎(jiǎng);500彩票網(wǎng)出售所持Sumpay.cn股份;京東免運(yùn)費(fèi)門檻提高20塊，告別自提免運(yùn)費(fèi)時(shí)代。

知名互聯(lián)網(wǎng)安全廠商Check Point周四在2016年亞洲黑帽大會(huì)(Black Hat Asia 2016)上稱，約10億臺(tái)iPhone和iPad可能受到iOS 9一處安全漏洞的影響。

Check Point稱，該安全漏洞最早發(fā)現(xiàn)于iOS 8系統(tǒng)中，蘋果公司在iOS 9中對(duì)該漏洞進(jìn)行了修復(fù)，但通過MDM(移動(dòng)設(shè)備管理)安裝的企業(yè)應(yīng)用仍繼續(xù)受該漏洞影響，這意味著黑客仍可以在企業(yè)用戶的移動(dòng)設(shè)備上安裝惡意應(yīng)用。Check Point安全解決方案副總裁阿維·萊姆鮑姆稱：“雖然目前還只是在理論上存在這種可能，但不幸的是，基于歷史經(jīng)驗(yàn)，我們談到過的許多可能發(fā)生的安全問題，最終都發(fā)生了。”

該問題最初發(fā)現(xiàn)于iOS 8的企業(yè)版開發(fā)者帳號(hào)上。蘋果的企業(yè)版開發(fā)者帳號(hào)年費(fèi)299美元，企業(yè)可以通過iOS開發(fā)者企業(yè)計(jì)劃(iOS Developer Enterprise Program)購(gòu)買蘋果的授權(quán)證書，然后上傳私人應(yīng)用(private app)。

當(dāng)前，越來越多的企業(yè)支持BYOD(員工攜帶自己的設(shè)備辦公)，這樣員工就可以不受時(shí)間、地點(diǎn)和設(shè)備的限制而隨時(shí)隨地辦公。Check Point數(shù)據(jù)顯示，在“財(cái)富100強(qiáng)”企業(yè)中，員工們的設(shè)備上安裝了318款私人應(yīng)用和116個(gè)授權(quán)證書。

但萊姆鮑姆稱：“如果有人出于惡意目的，他們不介意簽署授權(quán)證書協(xié)議，并花上299美元來獲得該證書，這并不是多大障礙。這是一件很危險(xiǎn)的事情。”

為此，蘋果在iOS 9中強(qiáng)化了私人應(yīng)用的安裝，但該強(qiáng)化并不涵蓋由MDM向員工設(shè)備推送的應(yīng)用。Check Point預(yù)計(jì)，當(dāng)前約有10億臺(tái)iPhone和iPad受該漏洞的影響。

企業(yè)經(jīng)常通過MDM服務(wù)向員工設(shè)備推送更新，但MDM-設(shè)備連接也是“中間人攻擊”(MITM)的一個(gè)入口。從理論上講，黑客可以截獲MDM和設(shè)備之間的通信，然后安裝授權(quán)和惡意應(yīng)用。