賽門鐵克爆出 iTunes 漏洞,可用 Wi-Fi 同步功能遠端控制 iPhone


防毒軟體賽門鐵克的研究人員發現了蘋果生態系統中的一個漏洞,只要用戶將 iPhone 與 Mac 或其他電腦配對,駭客就有機會偷偷地使用 Trustjacking 漏洞接管用戶裝置。

這個漏洞靠的是 iTunes 的「Wi-Fi 同步」功能。若是用戶在 iTunes 選項中勾選了「透過 Wi-Fi 與此 iPhone 同步」,之後只要電腦與 iOS 裝置處在同一個 Wi-Fi 環境中時,就可以自動連接上 iTunes 並同步,不再需要傳輸線了。不過,賽門鐵克的研究人員發現,這功能存在著一個漏洞,即使 iPhone 與 Mac 中斷了連線,駭客也一樣可以透過該 Wi-Fi 查看配對過 iPhone。

賽門鐵克安全研究部門負責人 Roy Iarchy 在 RSA 2018 安全大會上宣布了這個發現,並表示駭客可以神不知鬼不覺地透過 Wi-Fi 同步功能來控制裝置;具體的做法是,當用戶把 iPhone 接上了一台有毒的電腦設備,駭客就可以透過惡意程式開啟 Wi-Fi 同步功能,並在未來進行遠端操作、備份、安裝或刪除 App 等等。

當然,在 iTunes 與 iPhone 連接並要求取得資料時,iPhone 螢幕上是會跳出確認訊息的;但很多人其實並不留意那個彈跳視窗,而且若手機與駭客的裝置處在同一個 Wi-Fi 環境,甚至是同一個 VPN 中,駭客照樣可以透過漏洞直接進行同步。