iOS最近又被曝光出来了重大安全漏洞,攻击者可以通过此漏洞窃取多达上千个应用的密码。这一漏洞一旦被黑客掌握,其后果将是毁灭性的,不过好在这个漏洞的发现者是一群研究人员,而且他们已将漏洞问题汇报给苹果公司。
这个号称最安全的操作系统,既能吸引全世界的关注目光,自然就会受到更家严格的审视和要求。下面,我们就和大家一起来回顾一下,从iOS 6开始出现过的那些安全漏洞。
iOS6
无法根治的锁屏漏洞
它可使攻击者绕过锁屏界面查看联系人、语音邮件和照片。具体操作过程则是在拨打紧急电话时迅速取消,然后再按下电源按钮后可直接进入联系人和通话界面。在这一漏洞面前,保护手机隐私的锁屏功能成为摆设。
苹果公司在修复这一漏洞后,仍多次栽在同一个坑里,可谓修修补补,就是不见根治。
被删短信死而复生
iPhone短信在被用户删除后,通过手机自带的搜索功能,输入关键字竟能让原本已删的短信“死而复生”。
有网友调侃,在男友的iPhone里搜‘我爱你’,如果蹦出的不是你,只能祝你……不少网友都把这个功能当成了斗小三、起底枕边人的新武器。乔帮主果然是条有情有义、嫉恶如仇的真汉子!
魔性的阿拉伯字符漏洞,可致程序崩溃
这是一个远程拒绝服务漏洞,发送一段阿拉伯字符串到iOS或Mac用户的聊天软件、邮件或短信,将导致应用闪退甚至程序崩溃。
受到该漏洞影响的只有iOS6和OSX 10.8系统响,在后续的ios7和osX10.9中该漏洞已被修复。虽是如此,建议用户还是不要轻易尝试这自带魔性的阿拉伯字符。
iOS7
从苹果在WWDC全球开发者大会上推出iOS7操作系统以来,用户们不断发现新系统存在BUG多如牛毛。
又见锁屏漏洞
iOS6的锁屏漏洞在新发布的iOS7系统依然存在,并且操作更加方便,发现这一漏洞的是国外一名闲着没事的士兵——如果可以这样说的话。
不过,想要避免这个漏洞,用户只需要在设置菜单当中选择在锁屏界面当中禁用控制中心即可。对于这一屡次出现的锁屏BUG,苹果一再地修复又一再被发现漏洞,真是相当让人怀疑苹果是否真的严肃对待了这个问题。
不越狱设备也可被监控
在这一漏洞出现之前,很多人认为,只要不越狱,苹果设备就会受到苹果安全系统的保护,是安全的。但网络安全公司FireEye却发现,iOS7中存在漏洞,能让黑客绕过苹果应用审核,直接在设备上安装监控程序。所安装的监控程序可在用户不知情的情况下,记录所有的用户操作行为并发送至指定的服务器上,黑客可以轻松获取用户的相关信息。
看来越狱不越狱对于真正技术高超且有心做坏事的人来说,真的没有什么差别。
邮件短信可轻松被拦截
与以往都是用户或研究者曝出iOS系统存在漏洞不同,这一次,苹果自己发公告称iOS系统存在重大安全漏洞,黑客可利用漏洞拦截有待加密的电子邮件和其他通信。
自己认错不代表就能被原谅。安全专家表示,分分钟就能利用这一漏洞攻破iPhone。对于苹果的安全技术部门而言,再次被打脸。
“找到我的iPhone”找不到了
用于帮助用户丢失手机后找回的“找到我的iPhone”(Find My iPhone)功能,在iOS7的漏洞面前彻底失灵。利用这项安全漏洞,可以绕开密码关闭“找到我的iPhone”选项,同时还能删除设备上的iCloud账户。
具体操作是:在iCloud设置面中同时按下“删除账号”以及关闭Finde My iPhone功能的开关,然后只需要在系统弹出密码输入框时按住电源键关闭手机然后再开机,便可以绕过密码验证程序。
又一项iPhone引以为傲的功能失灵了,尽管有这项功能也不一定能找得到丢失的手机……
iOS8
iPhone6首次亮相时,iOS8那数目繁多的BUG再次惊呆了业界的小伙伴们,评论已将iOS8形容为苹果史上BUG最多的操作系统。
惊呆全世界的好莱坞“艳照门”
去年,好莱坞艳照门事件的发生与苹果iCloud 服务存在的漏洞脱不开关系。
国外黑客借助密码破解漏洞攻击了iCloud云端,造成美国好莱坞女星詹妮弗-劳伦斯、克里斯汀-邓斯特、凯特-阿普顿、歌手蕾哈娜等数十位当红女星卷入艳照外泄事件。事件发生之后,苹果单方面的撇清了自己的责任,称没有证据证明iCloud平台或是“查找我的手机”功能的漏洞,导致用户个人照片被盗。
但是为了保险起见,苹果采取两部认证的方法来加强iCloud服务的安全性。除了用户密码之外,用户还需要输入验证码,两步认证让大量的自动破解工具无功而返。
通过WiFi热点发动攻击
以色列安全公司Skycure在RSA信息安全大会上公布了这项iOS8的漏洞,黑客可强制iOS设备接入虚假WiFi热点,主要利用了WifiGate漏洞。
如果基于iOS8的iPhone或iPad遭到攻击,大部分连接到互联网的应用都无法使用,一启动就会崩溃,甚至还会导致iOS8设备无限重启。这种攻击手段主要利用了iOS的SSL漏洞,导致一项应用在试图与服务器建立安全连接时出现崩溃。
“死亡短信”,威力堪比“阿拉伯字符”
别以为只要堤防那一串魔性的阿拉伯字符就够了,由英文、阿拉伯文、马拉地文和中文组成的“死亡短信”同样会令你的iOS8设备死机或重启。
只要向iOS8使用者发送一条含特定字符的短信,便可以令收信息人的iPhone、iPad或Watch死机并自动重启。
这项漏洞最先由社交网站reddit的网民发现,并迅速传遍全球,不少人拿来跟朋友开玩笑,甚至有人故意在twitter发出“死亡短信”,这些人也是够了。
更严重的漏洞,涉及数千应用的密码
最后就是最近曝出的这一漏洞了。恶意应用借助漏洞可以绕过沙箱及其他安全保护措施进入App Store,然后从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。
可以想象,这一漏洞如被攻击者利用,所造成的后果将是毁灭性的。由于,发现这一漏洞的研究人员半年前就已将漏洞报告给苹果公司,所以,对于即将到来的iOS 9系统究竟是否仍然存在这一漏洞,才是我们真正关注的。