美國政 府今天發佈通告，提醒 iPhone 和 iPad 用戶提放最近被發現的高危安全漏洞“假面攻擊（Masque Attack）”。假面攻擊安全漏洞本周一被發現，可以通過 iOS 企業配置文件將惡意第三方軟件直接安裝至 iOS 設備，並替代各種真正的第三方軟件。該通告來自國傢網絡安全和通信集成中心和美國計算機應急準備小組，介紹瞭假面攻擊如何傳播——誘使用戶通過釣魚鏈接安裝非信任的應用。 　　安裝至 iOS 設備的惡意軟件可能會： 　　-模仿原有應用的登陸界面並盜取受害者的登陸信息。 　　-訪問本地數據緩存中的敏感信息。 　　-執行後臺任務，監控用設備。 　　-獲得 iOS 設備 Root 權限。 　　-無法與真正的第三方應用區別。 　　美國政 府的通告建議 iOS 用戶不要從 App Store 之外的來源安裝應用，避免點擊在查看網頁時出現的“安裝”按鈕。顯示“不受信任的應用開發者”時，點擊“不要信任”。政 府發佈計算機安全警告非常罕見，在2014年隻出現過13次。其他安全漏洞提醒包括心臟出血（Heartbleed）等。… 

　　上周，iOS 平臺被曝出有 WireLurker 惡意軟件，現在新安全漏洞再次出現，可以用來安裝第三方惡意應用。新安全漏洞被稱為“假面攻擊”，可以模擬和替代 iOS 設備上已經安裝的應用。安全研究公司 FireEye 首先發現瞭“假面攻擊”高危安全漏洞。 　　假面攻擊會誘使用戶在 iOS App Store 外安裝應用，用戶隻需點擊短信或郵件中的鏈接。比如，在下方的演示視頻中，包含鏈接的短信中被發送出，並有“快看看這個，新版 Flappy Bird 遊戲”文字。當用戶點擊短信中的鏈接後，可以直接進入一個網站，用戶會開始安裝應用。隻是，應用並不是 Flappy Bird ，而是包含惡意軟件的 Gmail 應用，而且會毫無預測的替代從 App Store 中下載的官方 Gmail 應用。 　　假面攻擊會通過 iOS 企業配置文件安裝虛假版本的應用，並替代原有官方應用。iOS 企業配置文件原本是用來測試或公司繞過 App Store 分發應用設定的。隻要 App Store 中的應用和惡意應用使用相同的識別符，虛假版本就會替代真實的應用，用戶將無法發現。惡意應用可以將電子郵件、短信、通話記錄和很多信息盜取，iOS 並不會強制識別符相同的應用進行證書匹配認證。 　　雖然假面攻擊不會替代原生蘋果應用，比如 Safari 和郵件，但可以影響 App Store 中安裝的所有應用，這也使“假面攻擊”的威脅性遠高於 WireLurker。FireEye 確認，iOS 7.1.1、7.1.2、8.0、8.1和 8.1.1 都可以被 “假面攻擊”攻破。FireEye 建議用戶不要從 App Store 之外的第三方平臺安裝應用，尤其不要點擊短信或第三方網站上的安裝鏈接。iOS 7用戶可以通過設置——通用——描述文件查看是否被假面攻擊感染，iOS 8 用戶不會顯示描述文件，所以很難發現自己是否被感染。下面是假面攻擊演示視頻。