iPhone两漏洞易中恶意程式｜黑客制假Apps　避开监管资金有入无出

iPhone 漏洞｜网络安全公司 Sophos 近日发现一个名为“CryptoRom”的黑客组织，利用 iPhone 两个漏洞，让用户安装没有监管的 App，继而骗取用户金钱，而且这些金钱更是用户自己存入黑客户口，到底是什么一回事呢？以下将一一解析。

iPhone 装 App 两大漏洞

一般 iPhone 用家想下载和安装 App，需要在 App Store 上寻求，但其实有另外两个方法可以绕过 App Store 下载。黑客利用 Apple 官方的 TestFlight 程式，把恶意程式假装成测试版的 App，而用户就以测试人员的身份，透过 TestFlight 下载该程式。

同时，黑客也把恶意程式放在 Web 内，叫用户把 Web 添加到 iPhone 萤幕上，成为应用运行的网站。这两个方法下安装的 App，都没有经过 App Store 管理和监察，因此安全保护极低。

假加密货币平台

Sophos 的报告中指出，黑客会在交友 App 上寻找对象，当目标和黑客接触外，就会开始介绍其下载含有恶意程式的加密货币交易平台 App，而这些恶意 App 包括完全虚构的平台，以及假冒其他平台的 App。有受害人指，当中包括疑似 BTCBOX App 和 BitFury 的假冒网站。

当用户下载完恶意程式后，就开始使用平台进行加密货币交易，平台更会显示用户获得丰厚回报，甚至允许提取小部分资金。而陷阱位是，当用家投入大量资金想赚更多时，再次提取金额就会发现诸多阻挠，甚至要求再存入更多资金（达某个额度）才能提取。当然，这些只是黑客的借口，因为不论用户再做什么，存入恶意程式的金钱已经不可能再拿出来。

Sophos 提醒，不要随便下载来历不明的 App，以及尝试绕过 App Store 下载 App，就算不是直接损失金钱，也有机会被恶意程式盗取 iPhone 内的个人资料。

资料来源：Sophos

👇👇相关图辑：6款PDF QR Code扫描工具内含恶意木马👇👇

同场加映：新型木马病毒｜YouTube影片作传播　中招者恐信用卡、银行被清零

病毒、恶意程式（Malware）在今时今日可谓无处不在，除了早前多次报导在 Google Play Store 处伪装成不同的 Apps 引导 Android 用家下载再盗取个人资料的木马病毒之外，现在连不少人日日在看的 YouTube 影片都有潜在危险，近日抗疫留家的时间增加，就连睇片都要小心提防。

想知YouTube影片如何传播木马病毒？即睇：新型木马病毒｜YouTube影片作传播　中招者恐信用卡、银行被清零