欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全预警正文

苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据

de64384a174e12dc2020-08-04236预警

E平安4月20日讯 赛门铁克公司的研讨人员们发明,iPhone 用户在将装备与 Mac 工作站及笔记本停止配对时,存在一项平安破绽 Trustjacking,许可进击者运用这一缺点在无需相识机主信息的前提下接受目的装备。

进击者怎样运用 Trustjacking?

从手艺层面来看,Trustjacking 平安题目源自 iTunes 傍边的“iTunes WiFi 同步”功用。

若是在 iTunes 的设置局部启用此选项,在 Mac 笔记本/工作站用户将新 iPhone 与其计算机停止同步时,此功用会许可用户许可经由过程当地 WiFi 收集接入本身的智能手机,如许可以或许不经由过程数据线停止衔接。这项功用异常轻易,并且许可 PC 端经由过程 iTunes 顺序和 API 轻松检索智能手机中的数据或向智能手机发送数据。

但赛门铁克公司的研讨人员们透露表现,这项功用的设想傍边存在缺点,其在 iPhone 装备与计算机断开衔接后,PC端 iTunes 仍可经由过程当地 WiFi 收集继承接见 iPhone。

苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据-E平安 同步”缺点,黑客可近程猎取机主数据  预警 第1张

进击者可经由过程当地 WiFi 掌握目的 iPhone

赛门铁克公司研讨与古代操纵体系平安主管 Roy Iarchy 透露表现,进击者能够会运用 iTunes WiFi 同步功用对装备停止后续掌握,但机主对此却将绝不知情。若是用户启用 iTunes WiFi 同步功用,进击者指导受害者与歹意装备配对,进击方便可运用 iTunes API 以短距离反复操纵的体式格局截图并将用户手机截图发送回 iTunes 顺序。

另外,进击者还可以或许在 iPhone 机主不知情的情况下下载安装或删除运用,以至还可以或许触发近程备份、再将备份正本发送至进击者的计算机装备,在从中提取受害者数据。

人们一样平常以为这类进击体式格局须要社会工程的介入,由于 iPhone 机主最少须要点击 iPhone 装备上的弹窗以赞同与进击者的装备停止配对。但这其实不难完成,用户常常会在匆忙中衔接陌生人的笔记本为手机暂时充电,而没有在乎与陌生人停止配对。

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

实际上在 Trustjacking 进击中,沾染 Mac 笔记本/工作站的歹意软件能够运用自动化剧本启用“iTunes WiFi 同步”功用,然后对处于统一 WiFi 收集中的配对 iPhone 停止数据检索或沾染。另外,只需 Mac 计算机与配对 iPhone 处于统一 VPN 收集傍边(而不仅仅是处于统一 WiFi 收集内),进击者将可以或许逾越互联网完成这一歹意操纵。

苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据-E平安 同步”缺点,黑客可近程猎取机主数据  预警 第2张

赛门铁克:Trustjacking 补钉还没有完成

赛门铁克方面透露表现,其曾经向苹果公司提交了这一题目,但苹果供应的 Trustjacking 处理方案其实不能让研讨人员们觉得惬意。

苹果公司给出的处理方案只是请求 iPhone 用户在与目的计算机配对时输出手机暗码。这类处理设施可以或许制止别人疾速拿起手机并将其与本身的笔记本电脑停止配对。

但赛门铁克公司以为如许其实不能处理 iOS 体系傍边存在的,与配对计算机断开衔接以后仍许可对方检索装备内数据的题目。真正的进击者依然可以或许悄然运用 iTunes 接入统一 WiFi 情况下的智能手机。

Iarchy 在日前宣布的博文中透露表现,“固然我们对苹果公司曾经接纳的减缓步伐透露表现赞扬,但苹果公司的处理方案其实不能完整处理Trustjacking 题目。一旦用户挑选信托受沾染的计算机,则其他破绽将继承依照我们上报的体式格局起效。”他增补称,“遗憾的是,现在尚没有设施列出一切信托计算机并有挑选地打消接见。确保iOS装备不致不测接入非信托计算机的最好体式格局,是前去设置〉通用〉重置〉重置地位与隐私,然后消灭信托计算机列表。如此一来,鄙人一次停止装备配对时,您须要从新为以往衔接对的一切计算机停止受权。”

E平安注:本文系E平安独家编译报导,转载请联络受权,并保存出处与链接,不得删减内容。联络体式格局:① 微旌旗灯号zhu-geliang ②邮箱eapp@easyaq.com
@E平安,最专业的前沿收集平安媒体和家当效劳平台,逐日供应优良环球收集平安资讯与深度思索,迎接存眷微信民众号「E平安」(EAQapp),或登E平安门户网站www.easyaq.com , 检察更多精彩内容。

上一篇 : 思科IOS破绽影响Rockwell多款产业交换机

下一篇 : 盛行手机app其实不平安,400万款运用顺序经由过程第三方SDK泄漏用户数据

您能够感兴致的资讯  苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据 预警 第3张
中远海运美国公司遭受讹诈软件沾染
 苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据 预警 第4张
兵工巨子BAE Systems构建“环球情报网”
 苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据 预警 第5张
纽约市9家B&BHG餐厅POS体系沾染,致主顾领取卡数据泄漏
 苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据 预警 第6张
印度行将履行收集中立法,一切用户一致享用互联网
 苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据 预警 第7张
CNCERT 2018年中国收集平安年会征文关照
 苹果“iTunes WiFi 同步”缺点,黑客可近程猎取机主数据 预警 第8张
​《2018年夏日互联网生长状态平安申报:Web进击》:旅店效劳行业面对僵尸收集的围攻
----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

网友评论

1条评论
  • 2020-08-04 00:07:27

    欧搏官网www.05328888.com欢迎进入欧搏平台(Allbet Gaming),欧搏平台开放欧搏(Allbet)开户、欧搏(Allbet)代理开户、欧搏(Allbet)电脑客户端、欧搏(Allbet)APP下载等业务。为你开的流量