小心沙盒攻击，iOS漏洞威胁比特币和以太坊钱包

尽管比特币和以太坊钱包最近才开始出现在iOS应用程序商店，但是加密货币的用户需要额外的加强警惕。一个新的黑客攻击允许攻击者用恶意版本来切换合法的应用程序。这也意味着我们很可能在不久的将来会看到伪造的比特币和Ethereum钱包版本发布。

但是，必须要说明的一点是，这种攻击要求攻击者要能够对该设备进行物理访问。对于多数人来说，这可能很明显降低被攻击的概率，但不要简单的认为这种 威胁会在突然之间消失。这个漏洞是在上周的Hack in the Box大会上被披露出来的，而且苹果仍然未进行修复。此外，这种攻击在未越狱的iOS设备上的仍然适用。

那么这个iOS漏洞到底干了什么呢？

显然地，这个iOS漏洞早在2016年1月27日左右就已经被发现。尽管苹果曾经试图修复这个漏洞，但同时，他们的补丁却是不完整的。直到今天，仍然有几个因素使得这个漏洞可以被利用。攻击者需要一个受限制的开发者证书，这需要一个电子邮件地址和苹果ID。

这种攻击被称为“Sandjacking”，允许攻击者访问应用程序的沙箱的内容。Sandjacking通过备份设备和删除原始应用程序，并用流 氓版本替换它。一旦设备所有者启动“备份恢复”功能，被破坏的应用程序就会自动安装。当用户需要手动批准这些应用程序的时候，很可能他们会直接通过这个列 表，根本不给用户第二种选择。

有些人可能认为获得对一个iOS设备的物理访问是很难的。但是与此同时，有很多维修店，家庭成员和朋友可以访问我们的设备。虽然说一个人的设备不应该相信任何其他人，但是这种情况使得攻击机会比大多数人的预期要多的多。

这对使用iOS设备的加密货币用户构成了重大的风险。到目前为止，苹果没有报告任何利用这个漏洞而被劫持的应用程序。但这是并非不可能的，我们有可 能会在将来的某个时候看到恶意的比特币和Ethereum钱包应用程序出现。因此，用户在将他们的设备交给别人的时候需要多加小心。

声明：此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。本网站所提供的信息，只供参考之用。