蘋(píng)果被曝存手機(jī)應(yīng)用密碼被盜巨大漏洞

　　漏洞發(fā)布者“蒸米”描述稱(chēng)，iOS上存在漏洞，黑客可以通過(guò)對(duì)URL Scheme（網(wǎng)頁(yè)地址協(xié)議）進(jìn)行劫持，可在未越獄的蘋(píng)果系統(tǒng)上盜取支付寶和微信支付的賬號(hào)密碼，而且在目前最新的iOS8.2版本中，這一漏洞仍未被修復(fù)。由于該漏洞是系統(tǒng)漏洞，因此影響所有iOS應(yīng)用，其中包括支付寶等支付軟件。

　　騰訊手機(jī)管家安全專(zhuān)家陸兆華告訴記者，該漏洞并非網(wǎng)傳的那么神秘，其實(shí)很多業(yè)內(nèi)人士和技術(shù)開(kāi)發(fā)人員都知道這一漏洞，但是由于產(chǎn)品的很多功能都要用到網(wǎng)頁(yè)地址協(xié)議，因此很多人不得不選擇繼續(xù)使用。

　　什么是網(wǎng)頁(yè)地址協(xié)議？陸兆華介紹，這是手機(jī)應(yīng)用從一個(gè)應(yīng)用跳轉(zhuǎn)到另一個(gè)應(yīng)用的中間橋梁，例如一些團(tuán)購(gòu)應(yīng)用在支付環(huán)節(jié)時(shí)需要跳轉(zhuǎn)到第三方支付工具的頁(yè)面中。由于蘋(píng)果iOS系統(tǒng)沒(méi)有對(duì)響應(yīng)的權(quán)限管理、校驗(yàn)等機(jī)制進(jìn)行保證，黑客就可以在用戶(hù)操作不同應(yīng)用間跳轉(zhuǎn)時(shí)插入惡意手機(jī)應(yīng)用生成偽裝頁(yè)面，誘導(dǎo)用戶(hù)輸入賬戶(hù)和密碼等信息。

　　25日，微信方面回應(yīng)表示，經(jīng)過(guò)核查，暫未發(fā)現(xiàn)針對(duì)微信的此類(lèi)惡意軟件，“為避免該漏洞產(chǎn)生安全風(fēng)險(xiǎn)，我們已通過(guò)技術(shù)手段對(duì)該漏洞進(jìn)行應(yīng)對(duì)，增強(qiáng)微信iOS防護(hù)措施，實(shí)時(shí)監(jiān)測(cè)并攔截惡意軟件。”

　　微信相關(guān)負(fù)責(zé)人表示，即使用戶(hù)的微信賬戶(hù)信息被通過(guò)不法手段獲取，在新設(shè)備登錄時(shí)還需要通過(guò)手機(jī)短信驗(yàn)證，否則同樣無(wú)法登錄微信并使用微信支付。

　　支付寶25日同樣回應(yīng)表示，已對(duì)支付寶錢(qián)包進(jìn)行了升級(jí)，通過(guò)技術(shù)手段對(duì)惡意軟件進(jìn)行檢測(cè)和攔截。

　　究竟該如何把這一漏洞從源頭上“消滅”？ 陸兆華表示，蘋(píng)果可以通過(guò)限制手機(jī)應(yīng)用的ID濫用來(lái)保證網(wǎng)絡(luò)地址協(xié)議的安全。對(duì)于第三方軟件而言，則需要通過(guò)增加安全檢測(cè)，例如檢測(cè)網(wǎng)頁(yè)地址協(xié)議是否被劫持、獲得網(wǎng)頁(yè)地址協(xié)議處理順序等等來(lái)防止自身被劫持。

　　陸兆華建議，在蘋(píng)果官方未修復(fù)此漏洞之前，盡量不要安裝來(lái)歷不明的軟件，特別是企業(yè)證書(shū)類(lèi)軟件。此外要養(yǎng)成良好的下載APP的習(xí)慣，選擇知名度較高的手機(jī)應(yīng)用，無(wú)論越獄與否盡可能都在蘋(píng)果應(yīng)用商店中下載。