大家有否聽過TestFlight這個應用程式?它其實是一個讓iOS App開發者在App正式發布到App Store上架之前,把Beta版本Apps發給用戶作測試,再透過Apple收集他們當機記錄、使用狀況資訊和反饋以作進一步改進
的工具。經這種途徑發送的Beta版Apps非常簡單地就可以讓人下載安裝,以及不需要通過App Store的審核。
有黑客便利用這個特性將惡意程式暗藏於Beta版Apps內,再用TestFlight去吸引用戶安裝,從而偷取用戶裝置上的敏感資料,甚至金錢,以及作進一步攻擊。另外,黑客還會利用WebClips一種將網頁鏈接生成App圖標的快捷方式再添加至 iOS 主畫面的功能,將惡意鏈接偽裝成普通 Apps再進行攻擊。
香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 作為資訊保安專家想提醒iOS用戶如無必要就不要安裝TestFlight或隨便下載來歷不明的Apps,並切勿於App Store以外途徑下載Apps 。另外,不要隨意打開任何連結,以及要小心核實網站和Apps的真偽。
更多內容:
https://www.hkcert.org/tc/security-bulletin?item_per_page=10&type%5B%5D=mobile-apps