【TechDaily电子报2019年8月11日综合报导】在很多人印象中,苹果设备是非常安全的,特别是iPhone,要比Android安全很多,但本周在拉斯维加斯举办一场黑帽安全峰会上,一位安全专家通过一则短讯,直接控制了iPhone,惊呆了全场观众。
这位安全专家来自Google Project Zero,他利用了iOS的iMessage中的无交互漏洞。掌握该漏洞之后,可以运行恶意执行代码、查看存储的数据,从而影响到用户使用。
该漏洞涉及到iMessage的通信选项,虽然iOS内置了保护措施,但由于该漏洞利用的是底层逻辑,所以系统判定这种动作为合法。通过该漏洞,黑客可以直接控制用户设备。目前苹果已经对这项漏洞进行封堵,发布了多个安全补丁,但仍没有完全修复该漏洞。
这些漏洞可以变成各种BUG,用于执行恶意代码以及访问用户的数据。所以最糟糕的情况就是有骇客利用这些错误来伤害用户。
Silanovich与Project Zero成员SamueLGroß合作发现这些漏洞,通过逆向工程之后在iMessage中发现了多个可利用的漏洞。
出现这些漏洞的原因是因为iMessage提供了一系列通信选项和功能,例如Animojis和Apple Pay等等,这必然带来了更多的BUG和漏洞。这个无交互漏洞允许黑客从用户的信息中提取信息。这个漏洞还允许攻击者向目标发送特制的文本内容,偷换SMS短信或者图片中的内容。
虽然iOS通常具有阻止攻击的保护措施,但这个漏洞利用了系统的底层逻辑,因此iOS的防御措施将其解释为合法。由于这些漏洞全程不需要受害者参与,因此特别受到暗网和骇客组织的青睐。
Silanovich发现,这些漏洞在暗网上价值可能达到数千万美元。
Silanovich表示:“在像iMessage这样的程序中会有很多额外的攻击。个别错误相当容易修补,但你永远无法找到软件中的所有错误,你使用的每个库都将成为一个攻击面。因此,设计问题相对难以修复。”
相关文章
[错误报告] [推荐] [收藏] [打印] [关闭] [返回顶部]
已有
