Skycure公布了一個(gè)漏洞,此漏洞可以讓黑客對(duì)iphone進(jìn)行監(jiān)控。這個(gè)重大安全漏洞將會(huì)為iOS配置文件引發(fā)惡意軟件的威脅。

[[67023]]

 受到是此漏洞影響的配置文件正是mobileconf，它包括無(wú)線(xiàn)網(wǎng)絡(luò)連接，VPN，電子郵件，和APN等設(shè)置，蘋(píng)果公司還使用此文件來(lái)提供補(bǔ)丁和系統(tǒng)更新。

Skycure CEO 做了一個(gè)演示，如何收集信息，包括可以搜索受害者的確切位置，同時(shí)還演示控如何控制用戶(hù)的iPhone。

在演示中，他通過(guò)一個(gè)自己搭建的假冒網(wǎng)站并發(fā)送此鏈接給受害者，受害者打開(kāi)此鏈接會(huì)提示安裝配置文件。安裝后，他發(fā)現(xiàn)他們?cè)诓恢榈那闆r下，能夠提取密碼和其他數(shù)據(jù)。

這些惡意配置文件可以通過(guò)電子郵件發(fā)送，或者從網(wǎng)頁(yè)上下載和安裝，攻擊者利用此方法能夠更改了大量的iPhone設(shè)置。

如果被廣泛惡意使用是非常危險(xiǎn)的，即使蘋(píng)果批準(zhǔn)他們使用，但他們并不是標(biāo)準(zhǔn)的沙盒規(guī)則不適合加入第三方App Store的“應(yīng)用程序商店或網(wǎng)站”內(nèi)。

除了竊取隱私外，這可能會(huì)導(dǎo)致更危險(xiǎn)的后果，他最后還演示可以很容易來(lái)更改一個(gè)GPS目標(biāo)，他將iphone的擁有者GPS地址發(fā)送到攻擊者指定的GPS地址。