誰説 iOS 最安全?細數 iOS 曝過的安全漏洞

雷鋒網 於 20/06/2015 發表 收藏文章
昨天,蘋果iOS/OS X被曝出重大安全漏洞,攻擊者可以通過此漏洞竊取多達上千個應用的密碼,漏洞一旦被黑客掌握,其後果將是毀滅性的。不過好在這個漏洞的發現者是一羣研究人員,而且他們已將漏洞問題彙報給蘋果公司。

這個號稱最安全的操作系統,既能吸引全世界的關注目光,自然就會受到更家嚴格的審視和要求。下面,雷鋒網和大家一同來回顧從iOS 6開始,iOS系統上出現過的那些安全漏洞。

iOS6
無法根治的鎖屏漏洞

它可使攻擊者繞過鎖屏界面查看聯繫人、語音郵件和照片。具體操作過程則是在撥打緊急電話時迅速取消,然後再按下電源按鈕後可直接進入聯繫人和通話界面。在這一漏洞面前,保護手機隱私的鎖屏功能成為擺設。

蘋果公司在修復這一漏洞後,仍多次栽在這同一個坑,可謂修修補補,就是不見根治。

被刪短信死而復生


iPhone短信在被用户刪除後,通過手機自帶的搜索功能,輸入關鍵字竟能讓原本已刪的短信“死而復生”。

有網友調侃,在男友的iPhone裏搜‘我愛你’,如果蹦出的不是你,只能祝你……不少網友都把這個功能當成了鬥小三、起底枕邊人的新武器。喬幫主果然是條有情有義、嫉惡如仇的真漢子!

魔性的阿拉伯字符漏洞,可致程序崩潰


這是一個遠程拒絕服務漏洞,發送一段阿拉伯字符串到iOS或Mac用户的聊天軟件、郵件或短信,將導致應用閃退甚至程序崩潰。

受到該漏洞影響的只有iOS6和OSX 10.8系統響,在後續的ios7和osX10.9中該漏洞已被修復。雖是如此,建議用户還是不要輕易嘗試這自帶魔性的阿拉伯字符。

iOS7

從蘋果在WWDC全球開發者大會上推出iOS7操作系統以來,用户們不斷髮現新系統存在BUG多如牛毛。

又見鎖屏漏洞

iOS6的鎖屏漏洞在新發布的iOS7系統依然存在,並且操作更加方便,發現這一漏洞的是國外一名閒着沒事的士兵——如果可以這樣説的話。

不過,想要避免這個漏洞,用户只需要在設置菜單當中選擇在鎖屏界面當中禁用控制中心即可。對於這一屢次出現的鎖屏BUG,蘋果一再地修復又一再被發現漏洞,真是相當讓人懷疑蘋果是否真的嚴肅對待了這個問題。

不越獄設備也可被監控

在這一漏洞出現之前,很多人認為,只要不越獄,蘋果設備就會受到蘋果安全系統的保護,是安全的。但網絡安全公司FireEye卻發現,iOS7中存在漏洞,能讓黑客繞過蘋果應用審核,直接在設備上安裝監控程序。所安裝的監控程序可在用户不知情的情況下,記錄所有的用户操作行為併發送至指定的服務器上,黑客可以輕鬆獲取用户的相關信息。

看來越獄不越獄對於真正技術高超且有心做壞事的人來説,真的沒有什麼差別。

郵件短信可輕鬆被攔截


與以往都是用户或研究者曝出iOS系統存在漏洞不同,這一次,蘋果自己發公告稱iOS系統存在重大安全漏洞,黑客可利用漏洞攔截有待加密的電子郵件和其他通信。
自己認錯不代表就能被原諒。安全專家表示,分分鐘就能利用這一漏洞攻破iPhone。對於蘋果的安全技術部門而言,再次被打臉。

“找到我的iPhone”找不到了


用於幫助用户丟失手機後找回的“找到我的iPhone”(Find My iPhone)功能,在iOS7的漏洞面前徹底失靈。利用這項安全漏洞,可以繞開密碼關閉“找到我的iPhone”選項,同時還能刪除設備上的iCloud賬户。

具體操作是:在iCloud設置面中同時按下“刪除帳號”以及關閉Finde My iPhone功能的開關,然後只需要在系統彈出密碼輸入框時按住電源鍵關閉手機然後再開機,便可以繞過密碼驗證程序。

又一項iPhone引以為傲的功能失靈了,儘管有這項功能也不一定能找得到丟失的手機……

iOS8

iPhone6首次亮相時,iOS8那數目繁多的BUG再次驚呆了業界的小夥伴們,評論已將iOS8形容為蘋果史上BUG最多的操作系統。

驚呆全世界的好萊塢“豔照門”


去年,好萊塢豔照門事件的發生與蘋果iCloud 服務存在的漏洞脱不開關係。

國外黑客藉助密碼破解漏洞攻擊了iCloud雲端,造成美國好萊塢女星詹妮弗-勞倫斯、克里斯汀-鄧斯特、凱特-阿普頓、歌手蕾哈娜等數十位當紅女星捲入豔照外泄事件。事件發生之後,蘋果單方面的撇清了自己的責任,稱沒有證據證明iCloud平台或是“查找我的手機”功能的漏洞,導致用户個人照片被盜。

但是為了保險起見,蘋果採取兩部認證的方法來加強iCloud服務的安全性。除了用户密碼之外,用户還需要輸入驗證碼,兩步認證讓大量的自動破解工具無功而返。

通過WiFi熱點發動攻擊:


以色列安全公司Skycure在RSA信息安全大會上公佈了這項iOS8的漏洞,黑客可強制iOS設備接入虛假WiFi熱點,主要利用了WifiGate漏洞。

如果基於iOS8的iPhone或iPad遭到攻擊,大部分連接到互聯網的應用都無法使用,一啟動就會崩潰,甚至還會導致iOS8設備無限重啟。這種攻擊手段主要利用了iOS的SSL漏洞,導致一項應用在試圖與服務器建立安全連接時出現崩潰。

“死亡短信”,威力堪比“阿拉伯字符”:

別以為只要堤防那一串魔性的阿拉伯字符就夠了,由英文、阿拉伯文、馬拉地文和中文組成的“死亡短信”同樣會令你的iOS8設備死機或重啟。

只要向iOS8使用者發送一條含特定字符的短信,便可以令收信息人的iPhone、iPad或Watch死機並自動重啟。

這項漏洞最先由社交網站reddit的網民發現,並迅速傳遍全球,不少人拿來跟朋友開玩笑,甚至有人故意在twitter發出“死亡短信”,這些人也是夠了。

更嚴重的漏洞,涉及數千應用的密碼:

最後就是最近曝出的這一漏洞了。惡意應用藉助漏洞可以繞過沙箱及其他安全保護措施進入App Store,然後從其他應用的鑰鏈中獲取密碼,竊取其他應用的隱私數據,劫持網絡端口,並假扮不同的應用攔截某些對話。

可以想象,這一漏洞如被攻擊者利用,所造成的後果將是毀滅性的。由於,發現這一漏洞的研究人員半年前就已將漏洞報告給蘋果公司,所以,對於即將到來的iOS 9系統究竟是否仍然存在這一漏洞,才是我們真正關注的。

本文轉載請註明來源:http://www.leiphone.com/news/201506/1vJY5PvMYZZcaxsG.html


資料來源:雷鋒網
作者/編輯:桃桃不絕
標籤: iOS  安全漏洞  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→