每周一课 20160909 第三十二期

正文

热点新闻 | iOS 9.3.5更新以后,你的手机就一定安全了吗?

iOS 9.3.5 的更新说明中我们看到,苹果称之为“重要的安全更新”,建议所有iPhone和iPad用户都安装此更新。苹果也在官网的“支持”页面专门提到了此次更新。

 

t015c45d101b0063639

 

相比 iOS 9.3.4, iOS 9.3.5 的更新意义更为重大,修复了一些重要的漏洞。这些被修复的漏洞一旦被间谍软件所利用,不仅会出卖 iPhone 用户的信息、邮件、联系人名单,甚至还能录音、收集密码、追踪用户的定位,而这些都是苹果一再强调要捍卫的用户隐私。

 

该漏洞的发现归功于一个叫 Citizen Lab(公民实验室)的组织,这是一家设立于加拿大多伦多大学蒙克学校的一个组织,专注于研究和开发信息通信技术、人权和全球安全的事务。该组织大约在今年8月中旬向苹果发出提醒,苹果在 10 天内调查出漏洞并迅速修复漏洞,反应极其迅速。

 

Citizen Lab 发现这一漏洞源于一次偶然。阿联酋的著名人权活动家艾哈迈德•曼苏尔发现自己的 iPhone 经常收到一些可疑短信。于是,他将这些短信交给 Citizen Lab 组织。Citizen Lab 检查后确定,艾哈迈德•曼苏尔的 iPhone 已经被监视。

 

经调查,某款间谍软件利用了三个 iOS 的漏洞。然而在当时苹果方面尚未发现这三个漏洞,更没有修复这些漏洞,用行话来说,这三个都是“零日漏洞”。他们将这三个漏洞统称为 Trident。

 

据 Lookout 公司介绍,攻击者会给用户发送一条带链接的短信,当用户打开短信中的链接后,用户的个人数据就会被攻击者掌握了,而且无声无息地,用户根本无法察觉自己已被监视。

 

漏洞如此可怕 建议全体更新

 

这三个漏洞中,其中一个存在于 Safari WebKit,一旦目标用户给盯上,用户点击一个网页链接,整台设备就“缴械投降”了;另一个漏洞存在于 iOS 核心,致使信息泄露;第三个问题是内核内存损坏。

 

7d6f1087ac144a299d181a3bee15d8db_th

 

这三个漏洞加起来,用户只需点击一个链接,就足以让攻击者越狱目标设备,进而安装监控、数据拦截等一系列攻击软件,最终挟持用户的iPhone手机。

 

可想而知,攻击者能做的事情远不止窃取用户个人信息那么简单,他们还可以不断获取目标设备的 GPS 更新数据,然后发送给命令控制服务器;他们可以载入存储在目标设备的 iOS 钥匙链,获得目标设备的所有密码;他们可以从目标用户所连的每一个 Wi-Fi 网络窃取凭证;获取存储在苹果路由器的密码;截获实时的电话呼叫、即时聊天工具的消息和未加密的通话。

 

Citizen Lab 于8月15日向苹果发出提醒。苹果向媒体表示,其实在上周的 iOS 10 公共测试版和开发者预览版中他们已经修复了这些漏洞。

 

吃瓜群众会成为攻击对象

 

这三个被间谍软件利用的漏洞不单存在于 iOS 平台,安卓、黑莓都不能幸免于难。只要有利益的驱使,任何人都有可能成为监视对象。普通用户手机上的联系人名单、网银密码、微博账号等等都是犯罪分子虎视眈眈的财富。

 

及时在官方渠道升级系统软件是必不可少的操作之一,同时,更为重要的还是用户的使用习惯和对数据安全的防范意识:不点击来路不明的短信链接,定期使用安全杀毒软件检查手机,不下载来路不明的软件,不下载某些非法的外挂软件,苹果手机不建议越狱……这些都是我们可以去防范潜在数据泄露风险的办法。

 

我们不再只是吃瓜群众。在互联网时代,我们应该学会如何保护自己的隐私安全。然而,智能手机平台的漏洞可以通过技术修复,那么其他移动设备渠道的个人信息泄露,我们又如何防范呢?

 

 

分享到: 更多

 

评论

  • 微信
  • 新浪微博

关注官方微信、微博获取更多资讯

点击按钮填写申请表单

安全法知识赛申请

Copyright 2011~ , E365.org版权所有

沪ICP备12023389-1号
沪公网安备 31010502002600号