盡管蘋果一直在警告?zhèn)容d應(yīng)用程序的危險性，并堅持對上架 App Store 的應(yīng)用展開嚴(yán)格的審查。但由于 TestFlight 和 WebClips 這兩項功能的存在，越來越多的惡意軟件開發(fā)者正在積極利用這兩大“官方漏洞”。比如欺詐者可忽悠 iPhone / iPad 用戶側(cè)帶有惡意軟件的應(yīng)用程序，進而竊取加密貨幣、賬戶憑證等敏感信息，或開展其它不為人知的惡意活動。

截圖(來自：Sophos)

通過嚴(yán)格的審查，這家?guī)毂鹊僦Z科技巨頭很好地保證了 App Store 的軟件質(zhì)量和用戶體驗。

TestFlight 有最多 10000 臺設(shè)備的安裝上限

但若某惡意應(yīng)用可在未通過安全審查的情況下輕松潛入 iPhone 或 iPad，后果就不堪設(shè)想了。

TestFlight 也是許多難以通過 App Store 審核的應(yīng)用的替代上線路徑

安全公司 Sophos 在一篇帖子中指出，通過推送虛假的加密貨幣 App，近期冒頭的 CryptoRom 活動，正在將魔爪伸向毫無戒備的 iOS 和 Android 用戶。

BTCBOX 發(fā)出假冒網(wǎng)站警告，提醒用戶分辨真實域名。

長期以來，Android 系統(tǒng)一直有開放“側(cè)載”的選項。在提供極大自由度的同時，此舉也讓小白用戶面臨著相當(dāng)大的惡意軟件風(fēng)險。

假冒 Robinhood 的李鬼 App

Sophos 指出，CryptoRom 惡意軟件活動嚴(yán)重依賴于 TestFlight 功能來傳播，該渠道允許 iOS 用戶下載并安裝尚未通過 App Store 審核的應(yīng)用程序。

亂七八糟的李鬼域名

在道高一尺魔高一丈的網(wǎng)絡(luò)安全攻防戰(zhàn)中，詐騙者們絕對不會輕易放過各種漏洞。

真假難辨

除了偽裝加密貨幣交易所，他們還喪心病狂地通過 TestFlight 測試通道來忽悠 iOS 用戶去安裝惡意軟件。一旦在受害者的設(shè)備上被順利安裝，推送帶有惡意軟件的應(yīng)用程序，也就輕而易舉了。

此外 CryptoRom 的幕后黑手，還有更加可怕的第二種手段 —— 利用蘋果提供的 WebClips 功能。通過將網(wǎng)頁鏈接直接添加到 iPhone 主屏，詐騙者可輕易將鏈接偽裝成來自合法服務(wù)或平臺的普通 App 。

Sophos 指出，目前 CryptoRom 活動正在社交網(wǎng)絡(luò)、約會網(wǎng)站 / App 上大肆兜售，表明幕后組織者正在積極部署社工策略。作為預(yù)防措施，還請 iPhone / iPad 用戶千萬不要在官方 App Store 渠道之外獲取應(yīng)用程序。