大家有否聽過TestFlight這個應用程式？它其實是一個讓iOS App開發者在App正式發布到App Store上架之前，把Beta版本Apps發給用戶作測試，再透過Apple收集他們當機記錄、使用狀況資訊和反饋以作進一步改進的工具。經這種途徑發送的Beta版Apps非常簡單地就可以讓人下載安裝，以及不需要通過App Store的審核。

有黑客便利用這個特性將惡意程式暗藏於Beta版Apps內，再用TestFlight去吸引用戶安裝，從而偷取用戶裝置上的敏感資料，甚至金錢，以及作進一步攻擊。另外，黑客還會利用WebClips一種將網頁鏈接生成App圖標的快捷方式再添加至 iOS 主畫面的功能，將惡意鏈接偽裝成普通 Apps再進行攻擊。



香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 作為資訊保安專家想提醒iOS用戶如無必要就不要安裝TestFlight或隨便下載來歷不明的Apps，並切勿於App Store以外途徑下載Apps 。另外，不要隨意打開任何連結，以及要小心核實網站和Apps的真偽。

更多內容：

https://www.hkcert.org/tc/security-bulletin?item_per_page=10&type%5B%5D=mobile-apps