【巴士数码】近日，网络安全公司FireEye公布一个被称为“Masque Attack”的iOS系统漏洞，攻击者可以通过短信、电子邮件和网页链接诱使iPhone和iPad用户安装恶意应用程序，然后利用这一漏洞将恶意应用植入用户设备，代替已有的应用程序从而获取用户的银行账户、电子邮件账户等敏感数据，除此之外他们甚至还可以利用这一漏洞获得这些设备的控制权。

而且除了短信、电子邮件和网页链接之外，第三方市场也成为了黑客利用这一漏洞的重要场所之一，因为这些第三方市场并没有像苹果商店那样严格的审核标准，所以攻击者更有可能利用这点传播这些恶意应用程序。

FireEye公司指出，Masque Attack出现的原因是因为iOS系统不强制验证具有相同“绑定标识符”应用程序的证书，换言之，也就是说只要有一个应用拥有与其它应用相同的绑定标识符，它就可以覆盖另一个应用，这也是为什么攻击者需要在被攻击者设备中植入恶意应用的原因。

FireEye还表示，他们已经在7月26日时向苹果提交了这一漏洞，之所以选择在现在公布主要是因为他们发现之前在Mac和iOS平台上蔓延恶意应用WireLurker与此漏洞有关。

碰巧的是此前安全研究员Jonathan Zdziarski也曾在博客上表示，iOS的配对机制是滋生恶意应用的罪魁祸首，因为它可以让更复杂的变种软件轻易在苹果设备上蔓延。从他所给出的解释来看，WireLurker的攻击方式与利用Masque Attack的攻击机理相同。

目前苹果已经及时阻止了WireLurker的扩散，不过据安全公司Palo Alto Networks的数据显示，在苹果阻止之前已有467个被感染的应用在最近的6个月内被下载达到了356104次，并且影响到成千上万的用户。鉴于并未有消息指出苹果已经修复这个漏洞，所以在未来一段时间可能会有更多类似的攻击。

不过虽然Masque Attack漏洞的影响十分大，但是它也并非无法避免。因为它主要依靠恶意应用来获取用户信息，所以iOS用户只需避免安装来自非苹果官方应用商店的应用程序，且不要在弹出的第三方网页上安装应用程序即可。