没有移动应用平台可以幸免于攻击，即使是曾经被认为是“最安全的平台”—苹果公司的iOS。虽然用户认为他们在做的事情并没有威胁，但即使是最努力的用户也会被欺骗。

去年秋天，安全公司FireEye揭露了iOS平台中的漏洞，该漏洞可以让恶意软件替换合法下载的应用，这是世界上第一批iOS恶意软件样本之一。

FireEye发现和介绍的该iOS安全漏洞被攻击者用于Masque攻击中，这种漏洞可以欺骗大部分用户，并对企业系统构成重大安全隐患。

在本文中，笔者将介绍Masque攻击并探讨企业如何抵御这种攻击。

应对Masque攻击

Masque攻击中利用的漏洞允许攻击者将恶意软件伪装成合法的iOS应用。由于iOS并不会验证用于识别应用的应用标识符是否与应用签名证书相匹配，因此该应用不会在iOS App Store中被标记为可疑或有漏洞。通常情况下，应用开发人员会对应用签名以帮助用户和应用商店知道它们来自该开发人员。通过利用iOS的这个漏洞，恶意开发人员可以利用合法应用的标识符作为攻击的一部分来诱骗用户安装恶意软件。

要注意的是，苹果App Store本身并没有受到该攻击的影响；用户是通过社会工程学被欺骗。

苹果公司称其设计iOS来帮助保护客户，并会在客户安装潜在恶意软件之前警告他们，例如当用户面对Masque攻击时，iOS确实也是这样做的。该应用商店要求用户点击“信任”选项按钮，攻击才会成功。尽管用户受到警告，他们仍然很容易在无意中做出错误的决定来安装恶意软件。

苹果公司称目前没有客户报道已经受到这种攻击影响。苹果公司并没有审核通过其应用商店发布的应用，并且没有部署控制来验证证书详细信息（包括应用标识符、名称和其他应用详细信息。）

抵御Masque攻击

US-CERT和FireEye提供了一些相对简单的建议来帮助企业抵御Masque攻击。主要建议包括：

· 保持iOS更新（该漏洞以由苹果公司修复）
· 仅安装iOS应用商店或企业应用商店的应用
· 在查看网页弹出页面时，不要点击“安装”
· 卸载提供关于不可信开发人员错误消息的任何应用

在工作场所，企业应该通过安全意识培训计划，让员工了解点击电子邮件、社交媒体等中链接而安装应用的风险。

如果企业有移动设备管理工具来管理iOS设备，则企业可以扫描是否有指示设备受到恶意软件感染的新配置文件；他们甚至还可以通过MDM卸载恶意应用。而这带来了这样的问题，即移动设备是否需要重建或者是否可以移除恶意软件。事实是，由于很多移动设备会自动备份（或应该），并会从应用商店安装合法应用，企业不需要太担心数据丢失和重新安装应用等问题。

软件开发人员和创建移动应用的企业永远不应该使用电子邮件、网站或弹出窗口中的直接连接作为分发应用的方式。企业应该指导客户从苹果应用商店下载应用，这可以避免用户安装风险应用。同时，使用预安装应用的开发商可以避免这种类型的攻击，因为预装应用无法被替代。开发人员还可以建立自动化系统来从应用商店下载其应用，并将其与合法应用对比以烟瘴应用商店发布的应用并没有受到感染。

结论

在恶意软件生态系统，移动安全威胁正在不断成熟。随着移动设备和其他设备的激增，它们对攻击者的价值也在增加，它们将不可避免地面临严格的检查以发现其中可能被攻击者利用的漏洞。

对于很多企业来说，平衡安装任何软件的开放性和保持安全性是一项艰巨的任务。并且，当涉及像苹果App Store这样的封闭生态系统时，企业的工作变得更加困难。在更好的保护机制广泛用于移动设备之前，例如MDM或移动反恶意软件工具等，最低风险的做法仍然是，仅从App Store下载应用。