研究者成功向苹果App Store上传恶意软件

继本周巴勒斯坦IT专家利用Facebook安全漏洞（是的，巴勒斯坦）在扎克伯格的留言墙上冒充其好友留言后，苹果公司也爆出重大安全漏洞。

根据麻省理工科技评论的报道，乔治亚理工学院的研究人员最近成功向苹果应用商店(App Store)上传恶意软件并成功通过审核上架。

这个代号Jekyll的恶意软件以“乔治亚理工新闻客户端”的身份上传，但实际上该软件暗藏恶意代码，在被用户下载安装后会自动向控制服务器发送命令请求，控制者可以操纵Jekyll完成很多在安装时并不存在的一些恶意功能。例如在用户不知情的情况下发送电子邮件、短信、推文、拍照、窃取个人信息和设备ID甚至攻击其他app。更可怕的是，Jekyll还能将苹果移动设备的Safari浏览器指向恶意软件网站。

根据该恶意软件开发者之一Long Lu透露，Jekyll隐藏了多个恶意代码片段，在通过苹果审核后这些片段可以自动组合，完成之前看上去并不存在的功能。这听上去有些像变形金刚中负责盗窃Cube残片的自组装外星机器人。

出于安全考虑，Jekyll在苹果应用商店上架后数分钟内就被撤下，只有测试团队下载了该应用。Lu透露该实验给苹果敲响了警钟，说明苹果应用商店的审核程序主要依赖静态分析，对于不易察觉的动态发生逻辑监控不力。

苹果发言人Tom Neumayr在接受《麻省理工科技评论》采访时表示苹果已经针对该漏洞进行了改进，Neumayr拒绝就苹果应用商店的审核流程做出评价，因为这属于苹果的高度机密。

长期以来，严苛的应用审核流程和较高的品质和安全性一直是苹果引以为傲的资本，因为苹果应用商店相比Google Play更为封闭恶意软件也更少，但是苹果在消费者信息安全保护方面的动作却非常滞后。今年三月苹果首席执行官蒂姆库克还公开抨击Android是恶意软件的大本营，但有趣的是随后不久苹果公司却接受Google研究员在内的安全专家的建议提高应用商店的安全级别到HTTPS，以防苹果用户在使用app store时遭受中间人攻击。

其实Google早在2010年就已经全面启用HTTPS，包括 Gmail。2011年Facebook也开始采用HTTPS，去年将其升级为默认协议，Twitter也是去年就全面升级到了HTTPS。

【IT经理网点评】

封闭和黑箱策略为苹果应用商店赢得了高品质和安全性美誉，但是随着越来越多的黑客将目光投向App Store，苹果引以为傲的应用审核流程反而成了黑客眼中的阿喀琉斯之踵。