蘋果被曝存手機應用密碼被盜巨大漏洞

本報訊(記者 張倩怡)“越獄了的蘋果不安全”，這是不少“果粉”的慣常想法，不過沒有越獄的蘋果手機也有危險了。近日，國內漏洞發布平臺烏云網發布消息，蘋果iOS系統存在漏洞，這一漏洞可導致非越獄iOS設備的賬號、密碼等敏感信息被黑客竊取，發布者稱支付寶、微信等手機應用都可能會因此“中招”。昨日，支付寶、微信分別回應稱，都已對軟件進行升級，將通過技術手段對惡意軟件進行檢測和攔截。    漏洞發布者“蒸米”描述稱，iOS上存在漏洞，黑客可以通過對URL Scheme(網頁地址協議)進行劫持，可在未越獄的蘋果系統上盜取支付寶和微信支付的賬號密碼，而且在目前最新的iOS8.2版本中，這一漏洞仍未被修復。由于該漏洞是系統漏洞，因此影響所有iOS應用，其中包括支付寶等支付軟件。

騰訊手機管家安全專家陸兆華告訴記者，該漏洞并非網傳的那么神秘，其實很多業內人士和技術開發人員都知道這一漏洞，但是由于產品的很多功能都要用到網頁地址協議，因此很多人不得不選擇繼續使用。

什么是網頁地址協議？陸兆華介紹，這是手機應用從一個應用跳轉到另一個應用的中間橋梁，例如一些團購應用在支付環節時需要跳轉到第三方支付工具的頁面中。由于蘋果iOS系統沒有對響應的權限管理、校驗等機制進行保證，黑客就可以在用戶操作不同應用間跳轉時插入惡意手機應用生成偽裝頁面，誘導用戶輸入賬戶和密碼等信息。

昨日，微信方面回應表示，經過核查，暫未發現針對微信的此類惡意軟件，“為避免該漏洞產生安全風險，我們已通過技術手段對該漏洞進行應對，增強微信iOS防護措施，實時監測并攔截惡意軟件。”

微信相關負責人表示，即使用戶的微信賬戶信息被通過不法手段獲取，在新設備登錄時還需要通過手機短信驗證，否則同樣無法登錄微信并使用微信支付。

支付寶昨日同樣回應表示，已對支付寶錢包進行了升級，通過技術手段對惡意軟件進行檢測和攔截。

究竟該如何把這一漏洞從源頭上“消滅”？ 陸兆華表示，蘋果可以通過限制手機應用的ID濫用來保證網絡地址協議的安全。對于第三方軟件而言，則需要通過增加安全檢測，例如檢測網頁地址協議是否被劫持、獲得網頁地址協議處理順序等等來防止自身被劫持。

陸兆華建議，在蘋果官方未修復此漏洞之前，盡量不要安裝來歷不明的軟件，特別是企業證書類軟件。此外要養成良好的下載APP的習慣，選擇知名度較高的手機應用，無論越獄與否盡可能都在蘋果應用商店中下載。