iOS最安全？細(xì)數(shù)iOS曝過(guò)的安全漏洞

2015-06-23 14:05:22 雷鋒網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

昨天，蘋(píng)果iOS OS X被曝出重大安全漏洞，攻擊者可以通過(guò)此漏洞竊取多達(dá)上千個(gè)應(yīng)用的密碼，漏洞一旦被黑客掌握，其后果將是毀滅性的。不過(guò)好在這個(gè)漏洞的發(fā)現(xiàn)者是一群研究人員，而且他們已將漏洞問(wèn)題匯報(bào)給蘋(píng)果公

昨天，蘋(píng)果iOS/OS X被曝出重大安全漏洞，攻擊者可以通過(guò)此漏洞竊取多達(dá)上千個(gè)應(yīng)用的密碼，漏洞一旦被黑客掌握，其后果將是毀滅性的。不過(guò)好在這個(gè)漏洞的發(fā)現(xiàn)者是一群研究人員，而且他們已將漏洞問(wèn)題匯報(bào)給蘋(píng)果公司。

這個(gè)號(hào)稱最安全的操作系統(tǒng)，既能吸引全世界的關(guān)注目光，自然就會(huì)受到更家嚴(yán)格的審視和要求。下面，雷鋒網(wǎng)和大家一同來(lái)回顧從iOS 6開(kāi)始，iOS系統(tǒng)上出現(xiàn)過(guò)的那些安全漏洞。

iOS6

無(wú)法根治的鎖屏漏洞

它可使攻擊者繞過(guò)鎖屏界面查看聯(lián)系人、語(yǔ)音郵件和照片。具體操作過(guò)程則是在撥打緊急電話時(shí)迅速取消，然后再按下電源按鈕后可直接進(jìn)入聯(lián)系人和通話界面。在這一漏洞面前，保護(hù)手機(jī)隱私的鎖屏功能成為擺設(shè)。

蘋(píng)果公司在修復(fù)這一漏洞后，仍多次栽在這同一個(gè)坑，可謂修修補(bǔ)補(bǔ)，就是不見(jiàn)根治。

被刪短信死而復(fù)生

iPhone短信在被用戶刪除后，通過(guò)手機(jī)自帶的搜索功能，輸入關(guān)鍵字竟能讓原本已刪的短信“死而復(fù)生”。

有網(wǎng)友調(diào)侃，在男友的iPhone里搜‘我愛(ài)你’，如果蹦出的不是你，只能祝你……不少網(wǎng)友都把這個(gè)功能當(dāng)成了斗小三、起底枕邊人的新武器。喬幫主果然是條有情有義、嫉惡如仇的真漢子！

魔性的阿拉伯字符漏洞，可致程序崩潰

這是一個(gè)遠(yuǎn)程拒絕服務(wù)漏洞，發(fā)送一段阿拉伯字符串到iOS或Mac用戶的聊天軟件、郵件或短信，將導(dǎo)致應(yīng)用閃退甚至程序崩潰。

受到該漏洞影響的只有iOS6和OSX 10.8系統(tǒng)響，在后續(xù)的ios7和osX10.9中該漏洞已被修復(fù)。雖是如此，建議用戶還是不要輕易嘗試這自帶魔性的阿拉伯字符。

iOS7

從蘋(píng)果在WWDC全球開(kāi)發(fā)者大會(huì)上推出iOS7操作系統(tǒng)以來(lái)，用戶們不斷發(fā)現(xiàn)新系統(tǒng)存在BUG多如牛毛。

又見(jiàn)鎖屏漏洞

iOS6的鎖屏漏洞在新發(fā)布的iOS7系統(tǒng)依然存在，并且操作更加方便，發(fā)現(xiàn)這一漏洞的是國(guó)外一名閑著沒(méi)事的士兵——如果可以這樣說(shuō)的話。

不過(guò)，想要避免這個(gè)漏洞，用戶只需要在設(shè)置菜單當(dāng)中選擇在鎖屏界面當(dāng)中禁用控制中心即可。對(duì)于這一屢次出現(xiàn)的鎖屏BUG，蘋(píng)果一再地修復(fù)又一再被發(fā)現(xiàn)漏洞，真是相當(dāng)讓人懷疑蘋(píng)果是否真的嚴(yán)肅對(duì)待了這個(gè)問(wèn)題。

不越獄設(shè)備也可被監(jiān)控

在這一漏洞出現(xiàn)之前，很多人認(rèn)為，只要不越獄，蘋(píng)果設(shè)備就會(huì)受到蘋(píng)果安全系統(tǒng)的保護(hù)，是安全的。但網(wǎng)絡(luò)安全公司FireEye卻發(fā)現(xiàn)，iOS7中存在漏洞，能讓黑客繞過(guò)蘋(píng)果應(yīng)用審核，直接在設(shè)備上安裝監(jiān)控程序。所安裝的監(jiān)控程序可在用戶不知情的情況下，記錄所有的用戶操作行為并發(fā)送至指定的服務(wù)器上，黑客可以輕松獲取用戶的相關(guān)信息。

看來(lái)越獄不越獄對(duì)于真正技術(shù)高超且有心做壞事的人來(lái)說(shuō)，真的沒(méi)有什么差別。

郵件短信可輕松被攔截

與以往都是用戶或研究者曝出iOS系統(tǒng)存在漏洞不同，這一次，蘋(píng)果自己發(fā)公告稱iOS系統(tǒng)存在重大安全漏洞，黑客可利用漏洞攔截有待加密的電子郵件和其他通信。

自己認(rèn)錯(cuò)不代表就能被原諒。安全專家表示，分分鐘就能利用這一漏洞攻破iPhone。對(duì)于蘋(píng)果的安全技術(shù)部門(mén)而言，再次被打臉。

“找到我的iPhone”找不到了

用于幫助用戶丟失手機(jī)后找回的“找到我的iPhone”(Find My iPhone)功能，在iOS7的漏洞面前徹底失靈。利用這項(xiàng)安全漏洞，可以繞開(kāi)密碼關(guān)閉“找到我的iPhone”選項(xiàng)，同時(shí)還能刪除設(shè)備上的iCloud賬戶。

具體操作是：在iCloud設(shè)置面中同時(shí)按下“刪除帳號(hào)”以及關(guān)閉Finde My iPhone功能的開(kāi)關(guān)，然后只需要在系統(tǒng)彈出密碼輸入框時(shí)按住電源鍵關(guān)閉手機(jī)然后再開(kāi)機(jī)，便可以繞過(guò)密碼驗(yàn)證程序。

又一項(xiàng)iPhone引以為傲的功能失靈了，盡管有這項(xiàng)功能也不一定能找得到丟失的手機(jī)……

iOS8

iPhone6首次亮相時(shí)，iOS8那數(shù)目繁多的BUG再次驚呆了業(yè)界的小伙伴們，評(píng)論已將iOS8形容為蘋(píng)果史上BUG最多的操作系統(tǒng)。

驚呆全世界的好萊塢“艷照門(mén)”

去年，好萊塢艷照門(mén)事件的發(fā)生與蘋(píng)果iCloud 服務(wù)存在的漏洞脫不開(kāi)關(guān)系。

國(guó)外黑客借助密碼破解漏洞攻擊了iCloud云端，造成美國(guó)好萊塢女星詹妮弗-勞倫斯、克里斯汀-鄧斯特、凱特-阿普頓、歌手蕾哈娜等數(shù)十位當(dāng)紅女星卷入艷照外泄事件。事件發(fā)生之后，蘋(píng)果單方面的撇清了自己的責(zé)任，稱沒(méi)有證據(jù)證明iCloud平臺(tái)或是“查找我的手機(jī)”功能的漏洞，導(dǎo)致用戶個(gè)人照片被盜。

但是為了保險(xiǎn)起見(jiàn)，蘋(píng)果采取兩部認(rèn)證的方法來(lái)加強(qiáng)iCloud服務(wù)的安全性。除了用戶密碼之外，用戶還需要輸入驗(yàn)證碼，兩步認(rèn)證讓大量的自動(dòng)破解工具無(wú)功而返。

通過(guò)WiFi熱點(diǎn)發(fā)動(dòng)攻擊

以色列安全公司Skycure在RSA信息安全大會(huì)上公布了這項(xiàng)iOS8的漏洞，黑客可強(qiáng)制iOS設(shè)備接入虛假WiFi熱點(diǎn)，主要利用了WifiGate漏洞。

如果基于iOS8的iPhone或iPad遭到攻擊，大部分連接到互聯(lián)網(wǎng)的應(yīng)用都無(wú)法使用，一啟動(dòng)就會(huì)崩潰，甚至還會(huì)導(dǎo)致iOS8設(shè)備無(wú)限重啟。這種攻擊手段主要利用了iOS的SSL漏洞，導(dǎo)致一項(xiàng)應(yīng)用在試圖與服務(wù)器建立安全連接時(shí)出現(xiàn)崩潰。

“死亡短信”，威力堪比“阿拉伯字符”

別以為只要堤防那一串魔性的阿拉伯字符就夠了，由英文、阿拉伯文、馬拉地文和中文組成的“死亡短信”同樣會(huì)令你的iOS8設(shè)備死機(jī)或重啟。

只要向iOS8使用者發(fā)送一條含特定字符的短信，便可以令收信息人的iPhone、iPad或Watch死機(jī)并自動(dòng)重啟。

這項(xiàng)漏洞最先由社交網(wǎng)站reddit的網(wǎng)民發(fā)現(xiàn)，并迅速傳遍全球，不少人拿來(lái)跟朋友開(kāi)玩笑，甚至有人故意在twitter發(fā)出“死亡短信”，這些人也是夠了。

更嚴(yán)重的漏洞，涉及數(shù)千應(yīng)用的密碼

最后就是最近曝出的這一漏洞了。惡意應(yīng)用借助漏洞可以繞過(guò)沙箱及其他安全保護(hù)措施進(jìn)入App Store，然后從其他應(yīng)用的鑰鏈中獲取密碼，竊取其他應(yīng)用的隱私數(shù)據(jù)，劫持網(wǎng)絡(luò)端口，并假扮不同的應(yīng)用攔截某些對(duì)話。

可以想象，這一漏洞如被攻擊者利用，所造成的后果將是毀滅性的。由于，發(fā)現(xiàn)這一漏洞的研究人員半年前就已將漏洞報(bào)告給蘋(píng)果公司，所以，對(duì)于即將到來(lái)的iOS 9系統(tǒng)究竟是否仍然存在這一漏洞，才是我們真正關(guān)注的。

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

安全漏洞