這下蘋果也難防，駭客利用 TestFlight 傳送惡意 iOS 應用程式

說到惡意應用程式，多數人可能會直覺認為 Android 用戶較容易從 Google Play 下載（且 Android 手機也允許側載應用程式），iOS 用戶因蘋果 App Store 審查機制較嚴格且不開放應用程式側載，因此較難被惡意程式入侵。

但不幸的是，現在有惡意人士發現能利用蘋果 TestFlight 工具向不知情用戶發送惡意軟體，且透過 TestFlight 還能繞過蘋果應用程式審查機制。

什麼是 TestFlight？TestFlight 是蘋果協助開發者發送 Beta 版本軟體的工具，開發者利用 TestFlight 可向 1 萬名 iPhone、iPad 用戶發送應用程式，且 Beta 版軟體不需通過 App Store 審核，所以有心人士只要將惡意程式夾在其中發送即可，蘋果根本就不知道駭客用這方式散播惡意軟體。

不過也不是所有 iOS 用戶都需擔心「中獎」，因如果要接收 TestFlight 傳送的測試應用程式，前提是要先下載 TestFlight，駭客才能利用 TestFlight 傳送惡意應用程式。

但若 iPhone 與 iPad 有下載 TestFlight，擔任新應用程式測試員前就要小心，因透過 TestFlight，測試版應用程式下載非常簡單，開發者甚至只提供公共下載連結就能讓你下載應用程式，連寄釣魚信都不需要。

此惡意行為被資安公司 Sophos 發現，指名為 CryptoRom 的犯罪組織一直都向 iOS 與 Android 用戶發送假加密貨幣應用程式。這次被 Sophos 發現的假 iOS 應用程式就是假冒成 BTCBOX 日本加密貨幣交易所應用程式；也有人偽裝成加密貨幣挖礦公司 BitFury 並透過 TestFlight 發送假應用程式。

TestFlight 容易發送測試版應用程式的確給駭客操作空間，不過蘋果勢必不會貿然更改 TestFlight 工作流程，因為會影響真正開發者工作；蘋果只能告訴用戶，不要下載安裝未知來源的應用程式，以免受騙。

（首圖來源：App Store）