尽管比特币和Ethereum钱包最近才开始出现在iOS应用程序商店,但是加密货币的用户需要额外的加强警惕。一个新的黑客攻击允许攻击者用恶意版本来切换合法的应用程序。这也意味着我们很可能在不久的将来会看到伪造的比特币和Ethereum钱包版本发布。
但是,必须要说明的一点是,这种攻击要求攻击者要能够对该设备进行物理访问。对于多数人来说,这可能很明显降低被攻击的概率,但不要简单的认为这种威胁会在突然之间消失。这个漏洞是在上周的Hack in the Box大会上被披露出来的,而且苹果仍然未进行修复。此外,这种攻击在未越狱的iOS设备上的仍然适用。
那么这个iOS漏洞到底干了什么呢?
显然地,这个iOS漏洞早在2016年1月27日左右就已经被发现。尽管苹果曾经试图修复这个漏洞,但同时,他们的补丁却是不完整的。直到今天,仍然有几个因素使得这个漏洞可以被利用。攻击者需要一个受限制的开发者证书,这需要一个电子邮件地址和苹果ID。
这种攻击被称为“Sandjacking”,允许攻击者访问应用程序的沙箱的内容。Sandjacking通过备份设备和删除原始应用程序,并用流氓版本替换它。一旦设备所有者启动“备份恢复”功能,被破坏的应用程序就会自动安装。当用户需要手动批准这些应用程序的时候,很可能他们会直接通过这个列表,根本不给用户第二种选择。
有些人可能认为获得对一个iOS设备的物理访问是很难的。但是与此同时,有很多维修店,家庭成员和朋友可以访问我们的设备。虽然说一个人的设备不应该相信任何其他人,但是这种情况使得攻击机会比大多数人的预期要多的多。
这对使用iOS设备的加密货币用户构成了重大的风险。到目前为止,苹果没有报告任何利用这个漏洞而被劫持的应用程序。但这是并非不可能的,我们有可能会在将来的某个时候看到恶意的比特币和Ethereum钱包应用程序出现。因此,用户在将他们的设备交给别人的时候需要多加小心。