一位专门研究iPhone安全性的Google Project Zero(GPZ)bug hunter透露,iOS中存在一个令人讨厌的漏洞,允许Wi-Fi范围内的攻击者“完全控制”苹果手机。
GPZ是谷歌的一个安全研究小组,其任务是在微软的Windows 10到谷歌Chrome和Android以及苹果的iOS和macOS。专攻iOS黑客的GPZ黑客Ian Beer说,他在今年第一次COVID-19锁定期间发现的漏洞允许Wi-Fi范围内的攻击者查看iPhone的所有照片和电子邮件,并从消息中复制所有私人信息,WhatsApp,实时发送信号等。
请参见:管理和故障排除Android设备检查表(TechRepublic Premium)
“2020年的6个月里,我一直被锁在卧室的角落里,被可爱、尖叫的孩子包围着,我一直在工作一个我自己的魔法咒语…一个可怕的无线电接近漏洞,让我可以完全控制我附近的任何一部iPhone,“他写道,
苹果在推出隐私保护联系人跟踪功能于5月发布于iOS 13.5中。
Beer经常发现iOS和macOS的关键缺陷,他利用自己的漏洞向iPhone用户强调,当考虑到对手时,他们可能会有一种错误的安全感。
“这个项目的收获不应该是:没有人会花六个月的时间来窃听我的手机,我很好,”比尔说。
“相反,它应该是:一个人,一个人在卧室里工作,能够建立一种功能,使他们能够严重危害与他们有密切接触的iPhone用户。“
Beer的联系人跟踪连接亮点很重要,因为他发现的漏洞存在于一个名为AWDL或Apple Wireless Direct Link的iOS功能中,这是一种苹果专有的点对点网络协议,用于Apple AirPlay和iOS到macOS文件共享功能AirDrop等功能。
AWDL适用于所有Apple iOS和macOS设备。去年的研究人员https://www.zdnet.com/article/apples-awdl-protocol-plagued-by-flaws-that-enable-tracking-and-mitm-attacks/“>发现协议中存在严重缺陷,使得网络上的攻击者能够拦截和更改通过空投发送的文件。这批AWDL漏洞中最令人关注的部分是,它们允许攻击者以高度准确的方式跟踪iPhone用户的位置。苹果去年5月在iOS 12.3、tvOS 12.3、watchOS 5.2.1和macOS 10.14.5中修复了这些AWDL漏洞。
漏洞本身的细节很重要,但比尔正利用他的漏洞对软件漏洞利用的经济性提出更高的看法。
正如比尔所说,有专业的向政府出售iOS漏洞攻击的“漏洞利用代理”
“未修补的漏洞不像物理区域,只被一方占据。“每个人都可以利用一个未匹配的漏洞,”比尔指出。
“必须强调的是……像这样的全球网络武器交易供应团队和公司并不仅仅是单独工作的个人,”他继续说道。
“他们都是资源充足、专注协作的专家团队,每个团队都有自己的团队专业化。他们并不是一开始就完全不知道蓝牙或wifi是如何工作的。他们还可以访问我根本没有的信息和硬件,比如开发设备,特殊电缆,泄露源代码,符号文件等。“
AWDL漏洞本身就是由常见的内存安全漏洞造成的,由于在A[HRFF= ]中C++开发人员编写的编程错误,哪个啤酒被描述为“相当小的缓冲区溢出”。https://www.zdnet.com/article/apple-releases-ios-kernel-source-code/“>苹果的XNU(X不是Unix)内核。Microsoft和Google发现内存漏洞构成了软件。
在这种情况下,Beer不需要iOS中的一系列漏洞来控制易受攻击的iPhone,这与Kotlin语言制造商JetBrains:Windows 10和M1 macOS获得Android Jetpack Compose
注册后,您同意
2023-03-22 10:04:24
Copyright © 2017-2023 soword.cn SOWORD科技言
网站地图 BUG反馈 联系我们 用户隐私
栖族科技开发服务中心
浙公网安备 33011002016917号
京ICP备19009350号-2
soword科技言免费资源网站,免费API接口,免费开发模板,免费开发工具,开发技术问题,汉化版免费开发工具,API接口,开发教程,免费教程
SOWORD科技言
