Skycure公布了一個漏洞,此漏洞可以讓黑客對iphone進(jìn)行監(jiān)控。這個重大安全漏洞將會為iOS配置文件引發(fā)惡意軟件的威脅。

[[67023]]

 受到是此漏洞影響的配置文件正是mobileconf，它包括無線網(wǎng)絡(luò)連接，VPN，電子郵件，和APN等設(shè)置，蘋果公司還使用此文件來提供補(bǔ)丁和系統(tǒng)更新。

Skycure CEO 做了一個演示，如何收集信息，包括可以搜索受害者的確切位置，同時還演示控如何控制用戶的iPhone。

在演示中，他通過一個自己搭建的假冒網(wǎng)站并發(fā)送此鏈接給受害者，受害者打開此鏈接會提示安裝配置文件。安裝后，他發(fā)現(xiàn)他們在不知情的情況下，能夠提取密碼和其他數(shù)據(jù)。

這些惡意配置文件可以通過電子郵件發(fā)送，或者從網(wǎng)頁上下載和安裝，攻擊者利用此方法能夠更改了大量的iPhone設(shè)置。

如果被廣泛惡意使用是非常危險的，即使蘋果批準(zhǔn)他們使用，但他們并不是標(biāo)準(zhǔn)的沙盒規(guī)則不適合加入第三方App Store的“應(yīng)用程序商店或網(wǎng)站”內(nèi)。

除了竊取隱私外，這可能會導(dǎo)致更危險的后果，他最后還演示可以很容易來更改一個GPS目標(biāo)，他將iphone的擁有者GPS地址發(fā)送到攻擊者指定的GPS地址。