政府監(jiān)控工具開發(fā)商Hacking Team的內(nèi)部數(shù)據(jù)近期在黑客攻擊中被曝光。一些信息安全機(jī)構(gòu)隨后開始分析，該公司究竟利用什么樣的手段去發(fā)動對目標(biāo)的攻擊，展開監(jiān)控。

信息安全公司FireEye發(fā)現(xiàn)，Hacking Team曾利用蘋果App Store排行榜前列的應(yīng)用，例如Facebook、WhatsApp、Viber、谷歌Chrome、Telegram和Skype去竊取用戶數(shù)據(jù)。

Hacking Team對這些應(yīng)用進(jìn)行了反向工程，使這些看似正常的軟件可以在后臺竊取用戶數(shù)據(jù)。根據(jù)FireEye發(fā)現(xiàn)的信息，一個注入至被篡改應(yīng)用的庫文件能竊取以下信息：

　　- Skype和微信等應(yīng)用的語音通話記錄；

- Skype、WhatsApp和Facebook Messenger的文本消息；

- Chrome瀏覽器的網(wǎng)站訪問歷史；

- 電話通話記錄；

- 短信和iMessage內(nèi)容；

- 在后臺進(jìn)行精確的GPS定位；

- 聯(lián)系人信息；

- 照片。

被篡改應(yīng)用利用了此前已被曝光的“假面”攻擊方式，即在App Store官方應(yīng)用的基礎(chǔ)上安裝修改后的應(yīng)用。FireEye曾于去年向蘋果報告這類攻擊，而蘋果在iOS 8.1.3中對此進(jìn)行了修復(fù)。而此次曝光的消息表明，這樣的攻擊方式已被大規(guī)模利用。

即使關(guān)于“假面”攻擊的漏洞已被修復(fù)，使得修改后應(yīng)用無法覆蓋官方應(yīng)用，但攻擊者仍可以修改捆綁識別符，從而繞開這一機(jī)制，欺騙用戶在安裝官方應(yīng)用的同時安裝被修改的應(yīng)用。

這樣的攻擊并不一定需要iPhone已越獄，用戶只要點(diǎn)擊電子郵件中的應(yīng)用安裝鏈接就有可能被欺騙。

這也是我們首次看到，這種攻擊方式在現(xiàn)實(shí)中被應(yīng)用，尤其考慮到Hacking Team是一家向政府間諜部門銷售工具的公司。

如果用戶在App Store之外看到應(yīng)用安裝提示，請務(wù)必點(diǎn)擊“取消”。