色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

黑客揪出蘋果iOS重大漏洞

我快閉嘴 ? 來源:環球科學 ? 作者:王昱 ? 2020-12-04 13:33 ? 次閱讀

來自谷歌信息安全團隊Project Zero的研究人員伊恩·比爾(Ian Beer)開發并公布了這個漏洞。Project Zero是谷歌公司在2014年公開的一個信息安全團隊,專門負責找出各種軟件的安全漏洞,特別是零日漏洞(Zero-day),即還沒有補丁的安全漏洞。該團隊在發現安全漏洞后,會立即通知軟件開發者,在漏洞被修復前,不會對外公布。但是90天后,不論漏洞是否已被修復,都會自動公開。

Project Zero的創始人克里斯·埃文斯(Chris Evans)在接受采訪時說:“(這個漏洞的發現)是一項了不起的工作。該漏洞十分嚴重,無需接觸手機就能發動攻擊這一點非常可怕。當你走在路上,手機在包里時這種攻擊就能發生,Wi-Fi數據包隨時都能入侵你的設備。”

伊恩·比爾是英國著名的計算機安全專家,有人認為他是最好的iOS黑客之一。他曾發現大量iOS漏洞,也曾制作iOS的越獄版本。在其12月1日發布的3萬字的帖子中,詳細描述了他花費6個月獨自開發和驗證漏洞的過程。其攻擊是通過AWDL驅動程序中的緩沖區溢出(buffer overflow)完成的。

關于AWDL

AWDL協議全稱為Apple Wireless Direct Link,是隔空投送和隨航等功能的底層協議。隔空投送是蘋果設備之間互相傳輸文件的一種方式,而隨航可以將iPad變成蘋果筆記本的擴展顯示屏。

在日常生活中,當我們通過無線方式在不同設備間傳輸文件時,可能較多使用微信,QQ,電子郵件等方式。這種情況下,數據包會從設備通過電磁波信號發向路由器,再由網線傳輸到光貓,之后就通過光纖傳入運營商,到達相應服務器后,再將數據包原路返回,傳輸給另一個設備。

或者是在同一Wi-Fi環境下,進行投屏或其他操作,數據包至少也會經過路由器的中轉。

但是Wi-Fi所用的電磁波波長不短(常見的2.4GHz和5GHz波長分別為12.5cm和6cm),電磁波并不會嚴格沿著一條直線傳播,它會向四面八方傳播。同時,由于Wi-Fi設備都同時擁有接收和發射Wi-Fi信號的能力,理論上不需要經過路由器的中轉,設備和設備之間可以直接通信。而AWDL協議正是這樣做的。

悄無聲息的攻擊

漏洞產生的原因是緩沖區溢出,即向緩沖區寫入超出其容量的數據。緩沖區溢出是安全漏洞產生的重要原因之一,實際上,1988年第一個通過互聯網傳播的蠕蟲病毒——莫里斯蠕蟲(Morris worm)——就利用了緩沖區溢出。

比爾在帖子中寫到:“想象一下擁有這種能力的攻擊者所感受到的力量。當我們越來越多的將心血放進這些設備,攻擊者可以輕易地從毫無戒心的目標上獲得大量信息。”

比爾開發了幾種攻擊方式。其中最先進的一種向被攻擊設備安裝了一個植入程序,可以獲得用戶的所有個人信息,包括郵件、照片、信息、密碼等。攻擊者可以用一臺筆記本,一個樹莓派和一些Wi-Fi適配器進行攻擊。植入程序大約需要2分鐘的安裝時間,但是比爾表示,如果寫出一個更高效的攻擊程序,那么攻擊過程可能在幾秒鐘內就能完成。攻擊并不需要你的設備開啟隔空投送的功能,比爾甚至想出了強制開啟對方設備AWDL的辦法。

比爾還制作了演示視頻,在視頻中,受害者的iPhone 11 Pro與攻擊者隔開。其間攻擊者沒有接觸過手機,但是兩分鐘后,攻擊者輕易獲得了手機剛剛拍攝的照片。

除了獲取數據之外,攻擊者利用其他攻擊方法,還能遠程操控手機打開應用程序,甚至開關機。攻擊者可以通過這種方式來監聽監視受害者。

攻擊可以在攻擊者的Wi-Fi覆蓋范圍之內進行。使用定向天線,更高功率的發射器,可以將攻擊范圍提升到很遠的距離。

蘋果公司在今年5月的更新中修復了這個漏洞,在其更新日志中也提到了比爾。

如何避免漏洞威脅

計算機漏洞一直是威脅信息安全的重大威脅。2018年,Project Zero發現了著名的“熔斷”和“幽靈”漏洞,影響了幾乎整個個人電腦市場。

這兩個漏洞存在于大部分英特爾x86/x86-64處理器中,在微軟發布針對漏洞的補丁后,2015年及之前生產的intel處理器出現了較為明顯的性能下降,有些測試中降幅甚至達到30%。而對于Intel的處理方式,Linux之父林納斯·托瓦茲(Linus Torvalds)強烈表達了他的不滿,并稱其處理方式為“全然的垃圾”(COMPLETE AND UTTER GARBAGE)。

而為了避免漏洞再次出現,以及盡快發現未知的漏洞并將其修復,Beer在帖中提出了3項重要建議。

首先,對于如何現代化核心遺留代碼,應該有一個長期的策略和計劃。此次漏洞中涉及的重要文件vm_map.c,其最初版本寫于1985年,而至今還在使用。

其次,對于如何快速提高新代碼的質量,應該制定短期策略。例如進行廣泛的自動化測試,對關鍵的、對安全敏感的代碼進行審查,以及創作高質量的內部文檔,以便開發人員可以了解其代碼在整體安全框架中的位置。

最后,對安全性測試應該有新的嘗試,不能局限于模糊測試。這不僅意味著要嘗試進行更多樣化的分析,還要付出大量努力,了解攻擊者的工作方式,并比他們做得更好來擊敗他們。

當然,這些都是科技公司的任務。至于消費者,保持設備進行系統更新,形成健康的上網習慣即可。好消息是,蘋果也表示,大部分iPhone和iPad用戶都會定期更新設備。
責任編輯:tzh

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • iPhone
    +關注

    關注

    28

    文章

    13460

    瀏覽量

    201661
  • 谷歌
    +關注

    關注

    27

    文章

    6161

    瀏覽量

    105304
  • iOS
    iOS
    +關注

    關注

    8

    文章

    3395

    瀏覽量

    150566
收藏 人收藏

    評論

    相關推薦

    蘋果推送iOS 18.2 Beta 1,Siri接入ChatGPT技術

    10月24日最新報道,蘋果公司于今日向開發人員發布了iOS 18.2 Beta 1版本,此版本專為支持Apple Intelligence的設備設計,涵蓋iPhone 15 Pro系列及iPhone
    的頭像 發表于 10-24 14:24 ?569次閱讀

    蘋果宣布重大變革:iOS 18.1將開放iPhone支付芯片

    在8月15日公布的重大新聞中,蘋果公司周三震撼宣布了一項前所未有的決定——從即將推出的iOS 18.1版本起,將允許第三方開發者使用iPhone內置的支付芯片處理交易。這一舉措標志著銀行及其他金融服務提供商將能夠與Apple P
    的頭像 發表于 08-15 15:38 ?726次閱讀

    蘋果macOS 15 Sequoia將修復18年老漏洞,筑牢企業內網安全防線

    8月8日,網絡安全領域傳來重要消息,一個長達18年的安全漏洞正在被黑客廣泛利用,以入侵企業內網,威脅企業信息安全。幸運的是,蘋果公司已確認在其即將推出的macOS 15 Sequoia系統中將修復這一長期存在的安全隱患。
    的頭像 發表于 08-08 17:16 ?462次閱讀

    蘋果智能”將錯過iOS 18首發

    據可靠消息來源透露,蘋果公司備受矚目的“蘋果智能”(Apple Intelligence)功能將錯過原定的發布窗口,不會與即將在秋季推出的iOS 18及iPadOS 18同步面世。這一決策背后
    的頭像 發表于 07-29 15:14 ?506次閱讀

    微軟五月補丁修復61個安全漏洞,含3個零日漏洞

    值得注意的是,此次修復并不包含5月2日修復的2個微軟Edge漏洞以及5月10日修復的4個漏洞。此外,本月的“補丁星期二”活動還修復了3個零日漏洞,其中2個已被證實被黑客利用進行攻擊,另
    的頭像 發表于 05-15 14:45 ?685次閱讀

    蘋果修復舊款iPhone和iPad內核零日漏洞

    此次更新的漏洞追蹤編號為CVE-2024-23296,存在于RTKit實時操作系統。據了解,已有證據顯示該漏洞已被黑客用于進行攻擊,通過內核讀寫功能可繞過內存保護機制。
    的頭像 發表于 05-14 14:06 ?543次閱讀

    蘋果將用自研模型Ajax優化iOS 18

    近日,據可靠消息透露,蘋果并不打算追隨ChatGPT等AI聊天機器人的潮流,而是選擇了一條獨特的創新之路。蘋果將運用其自主研發的大型語言模型(LLM)Ajax來深度優化即將發布的iOS 18系統。這一策略預示著Siri,作為
    的頭像 發表于 05-07 09:24 ?499次閱讀

    iOS 17.4.1修復兩安全漏洞,涉及多款iPhone和iPad

     據報道,iOS/iPadOS17.4.1主要解決了Google Project Zero團隊成員Nick Galloway發現并報告的兩大安全漏洞(CVE-2024-1580)。
    的頭像 發表于 03-26 10:47 ?728次閱讀

    特斯拉修補黑客競賽發現的漏洞,Pwn2Own助其領先安全領域

    作為領先電動車品牌,特斯拉始終重視網絡安全,并且與白帽黑客建立伙伴關系。為此,特斯拉依托Pwn2Own等黑客賽事平臺,以重金獎勵挖掘漏洞以彌補隱患。這一措施取得良好成效,數百個漏洞已在
    的頭像 發表于 03-22 11:35 ?495次閱讀

    蘋果Apple Silicon芯片曝安全隱患:黑客可利用漏洞竊取用戶數據

    據悉,黑客可借助此漏洞獲取加密密鑰,進而盜取用戶個人信息。DMP作為內存系統中的角色,負責推測當前運行代碼所需訪問的內存地址。黑客則借此可預測下一步需獲取的數據位,以此干擾數據的預取過程,進而獲悉用戶敏感數據。此類攻擊行為被稱為
    的頭像 發表于 03-22 10:30 ?832次閱讀

    蘋果修復macOS Ventura和Sonoma內存漏洞

    蘋果強調,該漏洞可影響macOS Ventura及macOS Sonoma系統,攻擊者可借此生成惡意文件。用戶一旦點擊瀏覽,可能引發應用程序異常關閉甚至造成任意代碼執行風險。
    的頭像 發表于 03-14 11:43 ?657次閱讀

    蘋果iOS 17.4正式版發布

    蘋果于凌晨推出了iOS 17.4正式版升級,版本號為21E219。
    的頭像 發表于 03-06 11:23 ?1102次閱讀

    蘋果iOS快捷指令應用存在漏洞,已獲修復

    這個名為CVE-2024-23204的漏洞嚴重程度達到7.5分(滿分10分),通過利用“擴展URL”功能,規避蘋果的TCC訪問控制系統,進而竊取用戶的照片、聯系人和文件甚至復制板內容等重要信息。通過Flask程序,黑客可獲取并保
    的頭像 發表于 02-23 10:19 ?772次閱讀

    iOS18將迎蘋果史上最大革新

    蘋果公司正在積極籌備的iOS 18操作系統可能是iPhone歷史上最大的一次更新。雖然目前關于iOS 18的具體信息仍然相對較少,但已經有兩項重大改進被確認。
    的頭像 發表于 01-30 16:55 ?1508次閱讀

    蘋果承認GPU存在安全漏洞

    蘋果公司近日確認,部分設備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據報告,
    的頭像 發表于 01-18 14:26 ?677次閱讀
    主站蜘蛛池模板: 一本之道高清在线观看一区| 色狠狠一区二区| 日韩亚射吧| 亚洲免费国产在线日韩| 中文字幕无码他人妻味| 儿子日母亲B好爽| 久久精品美女| 日韩a视频在线观看| 野花香在线观看免费高清播放视频 | porono日本xxx| 国产美女影院| 免费a毛片| 日本女人bbb| 伊人久久久久久久久香港| YELLOW视频在线观看免费版高清 | 亚在线观看免费视频入口| 中文字幕在线免费观看视频| 国产成人综合在线观看网站| 老女老肥熟国产在线视频| 午夜AV国产欧美亚洲高清在线| 一区二区三区国产| 国产传媒在线播放| 男人叼女人| 亚洲综合中文字幕无线码| 被免费网站在线视频| 精品国产在线国语视频| 色偷偷7777www| 97视频免费观看2区| 国产真实女人一级毛片| 青青视频国产色偷偷| 在线看片亚洲| 国产色综合久久无码有码| 欧美又粗又长又大AAAA片| 用快播看黄的网站| 国产精品一区二区制服丝袜| 欧美激情视频在线观看一区二区三区 | 色综合精品无码一区二区三区| 最近中文字幕MV高清在线视频| 国产亚洲精品久久综合阿香蕉 | 国产精品久久久久久久久99热| 奶头好翘是不是想要了|