大家好,我是小编
鉴于工作原因
自己的苹果6经常连接其他计算机
在写这篇报道的时候手是哆嗦的好吗
0x00 漏洞概述
如果你经常为了快速充电或共享选定的文件,将iPhone插入朋友的笔记本电脑,那么不好意思,你手机上的所有数据都已经不安全了。
就在昨天,赛门铁克研究人员针对iPhone和iPad用户发布了一项安全警告,并将其命名为“ TrustJacking ”,该漏洞可能会让你信任的人实现远程持续控制并从苹果设备中提取数据。
0x01 漏洞详情
Apple在iOS中提供了iTunes Wi-Fi同步功能,该功能允许用户无线同步他们的iPhone到电脑。如果要启用此功能,用户必须通过USB电缆一次性授权给受信任的计算机(使用iTunes)。
一旦启用,该功能允许计算机所有者通过Wi-Fi网络秘密监视您的iPhone,而不需要任何身份验证,即使您的手机不再与该计算机物理连接。
赛门铁克研究人员表示:“充电结束或文件共享完成后,用户会以为这只是当设备与计算机物理连接时才有意义,误以为断开连接将阻止访问私人数据。”
受害者的设备上不会留下明显的迹象,该漏洞的突破点是利用“受害者对其iOS设备和计算机之间的信任关系”。
研究人员提出在以下情况,可以成功执行TrustJacking攻击,特别是当你信任错误的计算机时:
1. 将手机连接到机场的免费充电器,并错误地允许弹出权限消息以信任连接的电台。
2. 如果设备所有者自己的“可信任”PC或Mac遭到恶意软件攻击,则不在同一Wi-Fi网络中的远程攻击者也可以访问iPhone数据。
此外,iTunes Wi-Fi同步功能还可用于在iPhone上远程安装恶意软件应用程序,下载备份并窃取所有照片,以及SMS/iMessage聊天记录和应用程序数据。
赛门铁克研究人员表示:
“攻击者还可以使用此设备访问安装恶意应用程序,甚至用修改后的包装版本替换现有应用程序,该版本看起来与原始应用程序非常相似,但能够在使用应用程序时监视用户,甚至利用私有API可以随时监视其他活动。”
TrustJacking攻击还可以让受信任的计算机进行反复远程截图,观察和记录您的每一个动作来实时观看设备的屏幕。
0x02 漏洞修复
苹果现在在iOS 11中引入了另一个安全层,要求用户在将iPhone与电脑配对时输入他们的iPhone密码。
然而,研究人员表示,漏洞仍然存在,因为该补丁并未解决主要问题,即在给定的时间间隔后,用户设备与受信任计算机之间缺少明显的指示或强制重新验证。
赛门铁克的Roy Iarchy表示:
“虽然我们非常欣赏苹果公司采取了缓解措施,但需要强调的是该措施不能以整体方式解决Trustjacking问题。一旦用户选择信任受感染的计算机,其余的漏洞会继续进行攻击。”
保护自己数据安全的最佳方法是确保没有不必要的计算机被iOS设备信任。为此,我们可以通过转到设置→常规→重置→重置位置和隐私来移除可信计算机列表。
此外,最重要的是,在向iOS设备充电时被要求信任计算机时,始终拒绝访问。你的设备仍然可以使用计算机进行充电,而不会泄露您的数据。
该漏洞已经引起了部分iPhone用户的恐慌,按照苹果公司的脾气后续一定会有所动作,漏洞银行会对此次安全漏洞持续关注,敬请期待。
更多精彩
Joomla注入漏洞(CVE-2018-6605)复现分析
安装WordPress的时候别出去旅游,因为......
7大黑客常用挖矿技能
科学上网泄露IP?世界那么大,我还是别看看了 你家的Siri是智障吗?光明正大泄露信息!
*IDEA值得分享 | 转载注明出处
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
