新漏洞可導致iOS 8裝置在Wi-Fi網路遭攻擊，並陷入無窮盡重開機

安全公司Skycure在RSA大會上公佈iOS 8內中一項新的SSL漏洞，可能導致任何iOS裝置遭Wi-Fi攻擊而當機，在某些特定狀況下還可能陷入無窮盡的重開機。

Skycure近日發現iOS 8中出現的SSL憑證解析漏洞，由於尚未獲得修補，因此研究人員並未提供細節。該公司技術長Yair Amit僅解釋，這項漏洞讓駭客可藉由製作惡意SSL憑證，導致執行SSL通訊的iOS應用程式當掉。由於幾乎所有iOS應用程式都使用SSL，風險範圍非常廣泛，可能導致大規模的阻斷攻擊（DoS）攻擊。他並指出，這項漏洞不僅影響到iOS應用，也會造成作業系統當機，使裝置陷入重覆開機的循環中而無法使用。

而這個漏洞結合Skycure早先發現的另一個iOS漏洞，會引發更嚴重問題。2013年Skycure發現WiFiGate漏洞，它讓駭客可以設立流氓Wi-Fi熱點，迫使Wi-Fi網路中的iOS裝置都自動連上其架設的無線網路，即使使用者沒有預設。當這個SSL漏洞與WiFiGate漏洞結合使用時，駭客得以形成「零iOS地帶」（No iOS Zone），所有與駭客同一Wi-Fi網路的iOS裝置都被迫加入此一網路且受到攻擊而不斷重覆當機與重開機。

Skycure研究人員指出，目前蘋果最新版的iOS 8.3可能已修補這項SSL漏洞的一些問題，因此建議使用者最好升級到新版本iOS。此外也應避免隨意連上可疑的Wi-Fi網路，或是在發現系統不斷當掉或重開機時換個地點。

這使得iOS裝置安全風險再添一樁。昨日安全公司SourceDNA才指出AFNetworking開放源碼函式庫中有一重大漏洞，允許駭客繞過SSL取得iOS裝置使用者憑證與金融資料，至今仍有約1000個iOS程式仍陷於安全風險中。（編譯/林妍溱）