这年头连不越狱的iPhone和安卓机都不再安全了，我该用什么手机？

Posted 2021-04-24 新智派

小智之前买iPhone是为了什么？就是为了ios系统那可靠的安全制度，要知道ios曾经被人称是最安全的移动操作系统，基本不存在中病毒木马，泄露隐私等问题。在老乔时代ios确实如此，非常的安全靠谱，只要你的手机不越狱，就不可能有任何的安全问题，但是到现在，就算你的iPhone不越狱也有很大程度中病毒泄露隐私。

不信？续上次的苹果app store商店出现大规模感染病毒感染事件还没过多久，这一次又来了。而且又是app store商店出问题了，让我们一起来看一下。

据国外网站Ibtimes报道，知名网络安全公司FireEye日前警告称，由于一款名为“JSPatch”、可帮助开发者修改应用程序的软件上存在安全漏洞，导致苹果应用商店内1000多款使用了该框架的iOS应用处于黑客攻击危险之中。

苹果应用商店

FireEye称，在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称，但其已通知了这些应用的开发商。FireEye警告称，尽管JSPatch技术对于iOS开发十分有用，但如果被黑客利用，可能给用户带来巨大风险。

据悉，开源软件JSPatch上存在的安全漏洞，可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

JSPatch框架

开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐，许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术，但FireEye发现，中国之外的开发商也都使用了这一技术框架。

FireEye指出，JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序，并使攻击者在受害设备上肆意强制执行程序，而任何反病毒工具都很难捕获该框架代码。

FireEye在一篇博客中称，“JSPatch对于iOS开发者来说是一个福音。正确使用它，可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美，我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说，如果攻击者能够篡改javascript文件内容，那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

FireEye称，JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

如何规避漏洞

FireEye新兴技术负责人乔什·戈德法布（Josh Goldfarb）表示，“狡猾的攻击者可能会使用该技术框架，事先编写一款合法且没有恶意的应用，然后提交苹果应用商店审核。一旦通过审核，将正式进入苹果应用商店，它就能够给设备发送非法恶意指令。”

至于如何规避JSPatch漏洞风险，戈德法布表示：“我的建议十分标准：只下载你需要，而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住，仅向那些你认为必须的应用提供访问权限。”

其实对于iOS用户而言，这并非首次遭遇大面积应用漏洞威胁。2015年10月，安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息，同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

在解释这一手机漏洞时，戈德法布称：“移动设备是攻击者比较青睐的攻击目标，因为相对于笔记本电脑和台式电脑而言，它们缺乏安全防护。未来我们将会看到，针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移，因此，我们将会看到更多针对移动设备的攻击。”

相对于苹果来说，我们觉得安卓可能会更加的不安全，因为连苹果ios这么一个闭源的操作系统都有这么多这样那样的漏洞可以被黑客利用和攻击，那么谷歌市场如何呢？情况还是不容乐观。。

有很多人说安卓只要不ROOT就绝对安全，那么你看下面这些感染了木马的游戏就不需要ROOT就能在你的手机上作威作福！

谷歌Play Store官方商店被爆出现超过60款感染木马的游戏

下载了这些游戏的用户，个人信息会被恶意程序收集并发往远程C&C服务器。

一旦这些数据被发往C&C服务器，基于受害者的手机规格和数据，木马作者会让木马在用户手机上显示相应的广告，甚至下载其他恶意应用加强其存在性。

android.Xiny本身不会获取root权限，但仍然能够下载和执行其他应用——这样一来如果执行和下载的其他应用有相应的代码，也就具备了对设备进行root的能力，如此木马作者也就可以进一步掌控你的手机了。

Dr.Web的研究人员还提到了一件值得注意的事，即下载恶意应用存在隐蔽性，作者会将其他应用装到一个PNG图片文件中，通过HTTPS流量隐藏其内部恶意应用的下载行为。因为大部分人都不会怀疑一张图片的下载，虽然这也的却是部署恶意程序的常规手法。

Dr.Web表示，谷歌当前还没有对这些感染了Android.Xiny的游戏做下架处理。

曾经小智认为只要不root不越狱就绝不会有安全问题的时代已经过了，现在各个操作系统都有安全问题，最终苦了的还是我们这些手机用户，每天战战兢兢，不知道什么时候就会中招。难道要我们用回功能机才行？

在这里小智也想提醒大家要保持良好的使用手机习惯，不明软件不要乱下乱装。只是，这样还是智能机吗？

关注小智，时刻享受玩机的乐趣