一直以来苹果系统的安全性都是比安卓要高的,但是再安全的系统也免不了漏洞,苹果也一样。最近爆出的新漏洞,这次出现在苹果设备上、编号为CVE-2016-4631的高危漏洞(针对不同操作系统的编号会有差异,这里4631针对的是iOS),要利用起来真是相当容易,因为的确是只要给受害者的苹果设备发条MMS多媒体消息,或者iMessage,攻击者就能获取到用户的身份凭证信息。
只要收到消息就被感染
这里所谓的身份凭证信息,具体包括了WiFi密码、登录凭证、电子邮箱登录信息等。该漏洞的影响范围比较广,包括了苹果的绝大部分操作系统,有macOS(也就是OS X)、watchOS、tvOS、watchOS,以及iOS。所以iPhone、iPod touch、Apple Watch、Apple TV、Mac设备用户都需要注意。
该漏洞是由思科Talos高级研究员Tyler Bohan上报的,不过Bohan并没有公布此漏洞的细节,我们所知的也比较有限。
该高危漏洞存在于ImageIO中——ImageIO实际上是上述这些操作系统的一个API。攻击者可以构造一个TIFF文件(一种图片文件格式)——其中包含利用漏洞的恶意代码,然后将这张图片以MMS或iMessage的形式发给苹果用户。
苹果用户收到消息之后就中招了,这个过程不需要用户进行任何交互操作,因为系统会自动对收到的图片进行处理。具体说利用该漏洞能做什么,如上所述就是从设备内存中获取储存的身份凭证信息。从不需要用户交互这个角度来说,该漏洞的确是高危级别。Bohan将之称作是“非常危险的BUG”。
另外除了通过发消息的方式,要利用该漏洞也可以构建包含恶意代码的网页,苹果用户用Safari浏览该网页就可致身份凭证信息泄露,这个过程也不需要用户在网页上进行任何操作。
请尽快将系统升级到最新版
不过这一漏洞相对不同的苹果操作系统,还是需要区别对待的。我们都知道iOS本身的安全机制做得不错,所以虽然iOS也存在ImageIO漏洞,但由于沙盒机制的关系,攻击者如果需要进一步获取iPhone的控制权,还需要对iOS系统进行越狱。而且苹果已经在前两天发布的iOS 9.3.3系统中修复了该漏洞。
macOS的情况就不同了,按照Bohan的说法,攻击者利用该漏洞可实现Mac设备的远程访问,一封邮件就能搞定你的Mac,这危险程度的确可见一斑。好在苹果也已经在自家官方发布了安全公告,最新的OS X EI Capitan 10.11.6已对此漏洞做出修复。其他各款苹果操作系统情况类似,还包括Safari浏览器。
其实这次苹果的这一漏洞比较容易让人联想到Android之上的Stagefright漏洞,也是一条消息就能被攻击者利用。而Bohan认为,这次在苹果设备上发现的漏洞较之有过之无不及。另外他预计黑客很快就会找到利用这一漏洞的方法,所以各位苹果用户如果你还没有将系统升级到最新版,记得尽快升级。
相关教程
-
请问你是黑客的菜吗?有效防范黑客入侵的绝招
在大多数人看来,这也许只是网络世界中一群拥有高超电脑技术的专业人士代名词;或者,很多人印象中的黑客,就如同电影《黑客帝国》中展现的那样出神入化。Palo AltoNetworks日前发布了一项由其赞助的调查结果,这份调查揭露了神秘黑客的收入、攻击花费的时间,通过了解黑…
5/9/2018 10:54:44 PM -
你的账号密码是怎样丢失的?暴力破解攻击的检测和防御
之前我们讲过关于“黑客1小时内破解16位密码”这样可怕的事情,里面提及了很多安全专家反复提醒用户设置账户和密码时要尽可能多样化,以防被破解。要知道,在这个大数据称霸天下的时代,网络安全意味着什么,意味着一切。众所周知,iCloud艳照门其实并…
5/9/2018 10:54:43 PM -
如何逆向破解HawkEye keylogger键盘记录器进入攻击者邮箱
面对恶意邮件攻击,我们就只能默默忍受被他攻击,连自我保护能力都没有谈什么反抗?让人痛快的是,如今有了解决办法,逆向破解键盘记录器,进入攻击者邮箱。这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击,请注意邮件信…
5/9/2018 10:54:41 PM -
黑客都很厉害吗 厉害的只是一小部分
国家正在修正关于黑客方面的法律法规,有一条震惊黑客圈的“世纪佳缘”起诉白帽黑客事件,深深的伤害了广大黑客们的心,加上扎克伯格和特拉维斯·卡兰尼克账号被盗,于是黑客话题又开始变得火热,黑客真的如你所想神秘又强大?真正技术高超的…
5/9/2018 10:54:33 PM
共有条评论 网友评论