Google警告iOS中的零日漏洞:已更新

iPhone用户是一个受害者“sustained”零日攻击。该漏洞至少持续了两年, Google的新报告’s Project Zero。 Project Zero是一个由白帽子黑客组成的团队,他们在Google工作,旨在发现流行软件产品中的漏洞。

研究人员说,对iOS的攻击使用了隐藏在网页中的恶意软件,该恶意软件在加载到设备上后会自动安装。一旦安装在运行iOS 10或更高版本的设备上,该设备就会与黑客共享很多信息,包括位置,联系人和消息。在测试中,该恶意软件能够从第三方(如WhatsApp,Google Maps和GMail)提取数据。

毫不奇怪,拥有此类数据可以使犯罪分子对一个人有详细的了解。经过最近的启示 苹果使用承包商来收听Siri对话 –意味着录制的音频存在,并且可能会受到损害–思考黑客可能访问了多少数据深深困扰。该数据可用于有针对性的网络钓鱼尝试,勒索等。

The attack is already in the wild, though it is not 已知的 how many handsets have fallen prey, nor who is behind it (Update: 是中国 ) – something we’也许永远都不知道。谷歌没有’命名负责感染和避风港的网站’•分享了有关黑客或其受害者的详细信息。

谷歌表示,它已于2月1日提醒苹果注意该零日漏洞,并指出 在iOS 12.1.4中对其进行了修补,于2019年2月7日发布。但这仍然意味着至少有两年可能受到破坏的数据。

这是过去35天内在iOS中发现并宣布的Project Zero的第二轮安全漏洞。第一个错误允许通过iMe​​ssage的恶意代码。意味着攻击者可能拦截通信,导致应用崩溃并触发任意代码执行, 根据苹果’s notes.

“实际用户根据公众对这些设备安全性的看法做出风险决策。现实仍然是 如果您采取以下措施,安全保护措施将永远不会消除遭受攻击的风险:’re being targeted. 成为目标可能意味着仅出生于某个地理区域或某个种族群体的一部分。用户所能做的就是意识到仍然存在着大规模剥削并依法行事的事实。将他们的移动设备既视为现代生活不可或缺的组成部分,又将这些设备视为受到损害后可以将其所有操作上载到数据库中的设备,以潜在地对他们使用。”零项目的伊恩·比尔(Ian Beer)写道。

建议iPhone用户尽快更新到iOS 12.1.4。 12.1.4更新  还修复了错误  允许用户使用小组FaceTime呼叫收听其他用户的声音。

更新: 我发了电子邮件 艾伦·格温(Allen Gwinn),实践教授,SMU Cox商学院。格温教授很友善地回覆了一封绝对毁了我一天的电子邮件。我将其以斜体形式发布在下面,仅对格式进行了编辑。

“另外请记住,我们在谈论‘known’iOS中的漏洞,可能还有许多未知的漏洞。这些安全问题的根本原因是Apple封闭,严格控制的专有性’的iOS。说到骇客,是整个黑客世界,与苹果公司规模相对较小的核心开发团队相比,从数字定律来看,黑客总是会取胜的。使问题复杂化的是,可能倾向于减轻这些问题的替代浏览器应用程序被迫使用相同的框架(iOS WebKit )与iOS进行交互。

对于最终用户而言,这意味着以网络为中心的所有内容(Firefox,Chrome等)与iOS Safari一样具有可入侵性。开源Mozilla甚至警告用户,它的Firefox附加组件和扩展程序(其中许多可以提高安全性)由于Apple的原因无法在iOS上使用‘专有的iOS扩展系统‘.

我对用户的具体建议是,如果用户担心泄露机密数据,请不要使用他们的iPhone / iPad浏览互联网!好吧,看,我有一个iPad(也有一个Android手机),并且我不打算退出上网冲浪。这是不现实的。但是我确实在我的iPad和Macbook Pro上禁用了Siri。我一直保持关闭蓝牙功能,除非在极少数情况下需要使用头戴式耳机,因为我一直对iOS持怀疑态度‘bluejacking’。我只能使用自己的充电器为iPad充电,以防止iOS“果汁劫持”,请谨慎使用所连接的WiFi网络,以防止‘trustjacking’,并已完全禁用AirDrop。

而且,公平地说,我们可能不应该让Microsoft脱离Windows。对于iOS中每一个未被发现的安全漏洞,Windows中可能有数千个。但它突出显示了封闭源专有操作系统固有的危险。 

苹果可能会引用它的一百万美元‘bounty’作为充分的保护。我会反驳说,对于一个糟糕的演员来说,一个可靠的iOS严肃漏洞利用可能价值超过一百万美元。我提供的证据是:Google发现的“至少2年”未被发现的漏洞。因此,只要iOS是专有且开源的,苹果很可能是最后一个听说过自己的bug的人。”

标头图片:员工

分享是关怀!

6条留言

  1.  头像

    真正的担心是,我们无法确切知道有多少不同的人部署了此漏洞利用程序。一般来说,漏洞利用不仅是一个人发现的,而且可以买卖。我担心的是某些政府可能滥用了它。

评论已关闭,但 引用 和pingback是开放的。