据海外新闻媒体报道,安全科学研究权威专家发现,iOS的ImageIO架构存在严重的安全漏洞(CVE-2016-4631),远程控制攻击者可以利用该漏洞窃取iPhone设备的敏感信息。
许多iPhone粉丝,我有一个坏消息要告诉你。根据一条精心策划的短消息,攻击者可以窃取您的私人信息,这些信息包含客户的真实身份凭据,存储在客户的iPhone设备的运行内存中。
这也意味着你的WiFi登录密码、登录凭证、电子设备的邮箱账号等信息内容都可以被网络黑客随便获取。
CVE-2016-4631,一个严重的安全漏洞,让我们想起了当时安卓电脑 *** 作系统出现的Stagefright漏洞。当时,安全科学研究的权威专家表明,根据Android计算机 *** 作系统中的这一漏洞,攻击者可以使用精心策划的短消息来监控整体目标客户的实际个人行为。
iOS的ImageIO架构中存在这个严重的安全漏洞(CVE-2016-4631)。ImageIO架构的本质是一个编程套接字(API),可以解决基本上所有iPhone *** 作系统的各种图片数据信息,包括MacOSX、watchOS、tvOS等iPhone设备的实际 *** 作服务平台。据统计,ImageIO架构(CVE-2016-4631)的这个漏洞是由思科Talos精英团队的高级安全科研专家泰勒·博汉(TylerBohan)发现并报告的。
根据安全科学研究权威专家的叙述,该漏洞的利用场景比较简单,攻击效率也很高。攻击者只需要在一张TIFF照片中放一段故意的漏洞利用代码,然后将这段多媒体数据以手机彩信或iMessage的形式发送到整体目标客户的设备上,就可以攻击整体目标设备。
当整体目标客户收到这种有意的短消息时,漏洞就可能被打开,漏洞利用编码就可能完全自动实现。
此外,安全科学研究权威专家还发现,漏洞利用代码也可以根据Safari电脑浏览器进行分发。在这种攻击场景中,所有目标客户都必须浏览带有故意利用代码的网站。客户浏览这个垃圾网站后,电脑浏览器可能会破解并执行网页中加载的攻击代码。
在这里的两个攻击场景中,客户不需要执行已建立的交互式个人行为。当整个目标设备接收到这些带有恶意程序的图像文件时,设备中的应用软件可以自动解析这些数据信息。
但坏消息是,对于一般的iPhone客户来说,这种攻击很难被察觉。
博汉在接受福布斯全球新闻报道采访时表示:“与Android实际运营服务平台的Stagefright漏洞相比,该漏洞的破坏程度更为严重。考虑到多媒体数据的存储和传输系统,有意短消息的接收者实际上很难避免这种攻击。攻击者可以随时随地向你的设备推送有意的短信,不管你的手机是什么时候启动的。如果您的手机被释放,您可能会收到此攻击短信。这意味着你的手机受到了攻击,攻击者会得到向你走来的私人信息。”
安全研究方面的权威专家表示,这种攻击方式可以对iOS和MacOSX服务平台造成伤害,而这两个系统软件服务平台下的沙盒维护系统是不同的,因此必须进一步区分这种攻击方式。
因为iOS电脑 *** 作系统中有沙箱机制来维护设备的安全性,只有获得整体目标设备的root管理权限后,漏洞代码才能攻击整体目标设备,获得移动设备的详细 *** 作管理权限。这意味着只有越狱后的iOS设备才会遭受此类攻击。
由于MacOSX的实际 *** 作服务平台中没有沙盒维护系统,攻击者可能更容易攻击MacOSX电脑 *** 作系统。
根据苹果公司发布的最新安全公告,这一严重漏洞已经在最新版本的iOS9.3.3中得到修复。
也就是你已经知道攻击者可以利用这个漏洞攻击iPhone设备,那么你要不要糊弄一下,尽快升级你的设备!
如果你不用看不起网络黑客,他们会在很短的时间内寻找其他方法来利用CVE-2016-4631漏洞,所以每个人都很难确定安全。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)