FBI都无法破解的iOS设备也会失陷？App store 超千个APP被爆漏洞

与安卓系统相比，iOS系统有着更加严格的安全机制，很多人更是对iOS系统的安全性深信不疑，苹果近期甚至对FBI表示：我们不应该、也不能破解罪犯的iPhone。但是，再坚固的防线也有可能出现漏洞。近日，安全研究人员就爆出App store 超千个应用程序出现漏洞，导致个人隐私信息泄露。联系到之前发生的恶意软件绕过App Store诱骗消费者下载安装的事件，趋势科技建议果粉们切不可在安全方面掉以轻心，并最好安装PC-cillin等可多平台防护的安全防护软件。

趋势科技安全研究人员发现，这个漏洞主要出现在名为“JSPatch”的软件中，允许黑客通过后门访问用户iOS设备中的图片、短信、通话记录等隐私信息。这款软件用于帮助开发者部署补丁、更新代码，被应用于很多iOS应用程序的开发之中，这些应用程序都存在着被感染的风险。而且，黑客可以利用该软件来开发应用程序并提交App Store审核，由于这些应用程序本身无恶意代码，因此将很容易通过审核。但实际上，其程序底层的漏洞却给黑客的发号施令大开方便之门。

这并不是iOS应用程序第一次被爆出安全事故，在2015年下半年，YiSpecter、Pawn Storm等恶意程序就被发现具有绕过App Store的能力。这些软件会利用iOS的企业部署机制，伪装成情色类视频播放软件诱骗消费者下载安装。在消费者确定安装之后，软件会继续欺骗消费者安装假应用并恶意推送广告，还可能篡改浏览器设置，偷偷上传个人信息。

趋势科技(中国区)资深产品市场经理徐江明指出：“虽然从整体上来说，iOS系统是非常安全的系统，但这并不表明它是无懈可击的。由于iOS系统的流行，网络不法分子正在寻找一切可供利用的漏洞来散播恶意软件。而且，用户往往对iOS系统的安全性抱有过高的期望，这导致他们缺乏警惕性，更容易被不法分子找到可乘之机。”

要让自己的iOS设备变得更加安全，趋势科技建议用户采取以下几大应对措施：

尽量不要越狱：由于越狱设备的安全风险要远远高于未越狱设备，因此果粉们最好不要进行越狱，这样App Store的第一层防线就将为你挡下大多数的恶意软件。

不要随意下载推荐应用程序：那些直接推荐你安装的应用程序，你有充分的理由怀疑其推荐动机，因为他们很有可能是黑客侵入你移动设备的一场阴谋。正确的做法是直接登录App Store，搜寻并下载你所需要的应用程序。

安装可信赖的网络安全软件：iOS系统同样需要安全防护软件，其可以通过自动化的扫描和查杀，协助用户抵御风险。趋势科技建议用户安装可同时支持Windows、Mac、Android和iOS操作系统的PC-cillin，软件采用全球独家“主动式云端截毒技术”，防堵诈骗、恶意软件及网页，速度全球最快，用户不论使用何种上网设备，都能安心享受数字生活。

原文发布时间为：2016-03-02

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。

APP做漏洞渗透测试服务的重要性 很多新开发未上线的网站或APP项目平台，都对漏洞安全问题缺乏积极性导致后期出现很多漏洞而造成的损失，因为开发公司只开发设计实现功能，对安全性和漏洞是无法去检测的，术业有专攻，安全方面一定要交给网站安全公司来做，比如有做对网站或APP进行漏洞测试检测有无漏洞等问题的可以向SINE安全寻求技术支持，因为网站漏洞和咱电脑的系统补丁一个道理，每月都会出漏洞补丁要下载修复，而网站漏洞也是要每月定期排查。
APP数据被泄露接到境外电话 该怎么查服务器漏洞 上海经济7月份开始陆续恢复，一些在上海做APP项目的客户开始了一系列的营销推广和发展，在众多渠道推广下，用户下载安装APP的同时，一些安全上的漏洞频发，并被高级黑客给盯上，具体的数据泄露攻击的症状为：用户刚注册好的用户信息就被泄露，不一会就会收到电话推广营销，并且有些用户的数据被恶意篡改，导致APP运营平台损失较大，比如一些用户借贷额度被篡改成20w的额度，APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务，要求尽快找出漏洞问题的原因以及攻击进行溯源。
Reddit最热：一个专门给不可描述照片加水印的APP被AI破解了！ 比利时的电信提供商面向青少年推出一款名叫“.comdom”的安全App，可以为发送的照片加上接收者的信息作为水印，防止私密照片二次传播。但没想到短短几天就被一组研究人员破解了，完美复现原图，引发reddit网友热议。
APP漏洞渗透测试实施步骤 在开始APP渗透测试时，根据需要制定步骤，并向委托方详细说明需要使用的工具、方法等。具体操作时，会把渗透测试分成三个部分和阶段，不同的角度使区别的方法有所不同，例如在理论上把渗透测试分为准备阶段、渗透测试阶段、整体对比与评估阶段，而在技术操作上分为探测、攻击渗透、目标权限获取三个阶段。
网站APP渗透测试越权漏洞介绍 网络上，大家经常可以看到数据库被脱裤、用户信息泄露等由于安全漏洞引发的问题，给用户和企业都带来了很大的损失。由于公司业务发展迅速，功能不断增加，用户数量不断增加，安全问题日益受到人们的关注。业务部门和安全部门在实践安全测试时开展合作，早期测试人员和安全同学通过手工执行安全测试用例来发现问题，随后慢慢地也开始使用一些安全工具，通过自动化的方式来提高发现问题的效率。
渗透测试公司如何对APP进行漏洞检测与修复 #APP渗透测试#目前越来越多的APP遭受到黑客攻击，包括数据库被篡改，APP里的用户数据被泄露，手机号以及姓名，密码，资料都被盗取，很多平台的APP的银行卡，充值通道，聚合支付接口也都被黑客修改过，导致APP运营者经济损失太大，很多通过老客户的介绍找到我们SINE安全公司，寻求安全防护，防止攻击，根据我们SINESAFE近十年的网络安全从业来分析，大部分网站以及APP被攻击的原因都是网站代码存在漏洞以及服务器系统漏洞，包括安装的服务器软件都存在漏洞。关于APP渗透测试内容，以及如何防止APP被攻击的方法，我们总结一篇文章分享给大家，希望能帮到更多需要帮助的人。
APP安全测试 该如何渗透检测APP存在的漏洞？ IOS端的APP渗透测试在整个互联网上相关的安全文章较少，前几天有位客户的APP数据被篡改，导致用户被随意提现，任意的提币，转币给平台的运营造成了很大的经济损失，通过朋友介绍找到我们SINE安全公司寻求安全解决方案，防止APP继续被篡改与攻击，针对客户的这一情况我们立即成立安全应急响应小组，对客户的APP以及服务器进行了全面的安全渗透。
APP渗透测试 头像上传漏洞检测与修复 多客户网站以及APP在上线运营之前都会对网站进行渗透测试，提前检测网站是否存在漏洞，以及安全隐患，避免因为网站出现漏洞而导致重大的经济损失，客户找到我们SINE安全做渗透测试服务的时候，我们都会对文件上传功能进行全面的安全测试，包括文件上传是否可以绕过文件格式，上传一些脚本文件像php,jsp,war，aspx等等，绕过上传目录，直接上传到根目录下等等的一些漏洞检测。
云栖大讲堂 擅长前端领域，欢迎各位热爱前端的朋友加入我们（ 钉钉群号：23351485）关注【前端那些事儿】云栖号，更多好文持续更新中！