安基網 首頁 資訊 安全報 查看內容

黑客可隨意劫持任意iPhone:蘋果獎勵超53萬元 并火速修復

2020-4-5 12:55| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 一名“白帽”黑客利用他發現的一系列漏洞劫持了iPhone攝像頭。同樣的方法也適用于Mac電腦上的攝像頭。在向蘋果公司披露這些漏洞后,他獲得了7.5萬美元獎勵。

騰訊科技訊 據外媒報道,一名“白帽”黑客利用他發現的一系列漏洞劫持了iPhone攝像頭。同樣的方法也適用于Mac電腦上的攝像頭。在向蘋果公司披露這些漏洞后,他獲得了7.5萬美元獎勵。

去年12月,一名“白帽”黑客利用蘋果自己的應用程序,展示了惡意網站如何在未經同意的情況下,利用一系列漏洞,不受限制地訪問用戶的相機和麥克風。

亞馬遜前網絡服務安全工程師瑞安-皮克倫(Ryan Pickren)在蘋果Safari中發現了七個零日漏洞,可以用來劫持用戶的相機。這些漏洞利用Safari解析統一資源標識符、管理Web來源和初始化安全上下文的方式進行攻擊。

唯一的要求是用戶的相機必須信任像Zoom這樣的視頻會議網站。如果滿足這一條件,用戶就可能訪問含有利用攻擊鏈的網站,而黑客就可以趁機訪問用戶的攝像頭——無論是在iOS上還是在MacOS上。

皮克倫向蘋果捉蟲賞金項目提交了他的研究結果,并因此獲得了7.5萬美元的獎勵。蘋果在1月28日發布的Safari 13.0.5更新程序中修復了三個安全漏洞——允許相機劫持的漏洞。剩余的四個漏洞直到3月24日發布Safari 13.1版本才得到修復。

皮克倫稱,“這樣的漏洞說明了為什么用戶永遠不應該完全相信他們的相機是安全的,無論是什么操作系統或制造商!

皮克倫是通過“在軟件中發現假設條件并違反這些假設條件來觀察會發生什么”這個方法來發現安全漏洞的。他指出,攝像頭安全模式很難破解,因為蘋果要求幾乎每個應用程序都必須獲得麥克風和攝像頭的明確許可。這使得惡意的第三方應用程序在沒有用戶明確許可的情況下獲得訪問權限的可能性要小得多。

然而,這條規則的例外是蘋果自己的應用程序,比如Safari。皮克倫利用這一例外發現了漏洞。他設法“用各種方式來攻擊Safari瀏覽器”,直到他能接觸到相機。

另一位安全研究員表示,令人驚訝的是,黑客沒有更多地關注移動設備進行這種類型的攻擊。他表示,劫持iPhone攝像頭的能力將特別有價值。

安全研究員肖恩-賴特(Sean Wright)稱,雖然每個人都在關注個人電腦和筆記本電腦上的網絡攝像頭,但“很少有人像關注手機上的麥克風一樣關注手機的網絡攝像頭。當你停下來想一想,這是很奇怪的,因為這是攻擊者更有可能竊聽受害者的一種方式。人們更有可能大部分時間都帶著手機,尤其是在討論敏感問題的時候!保v訊科技審校/樂學)



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://baijiahao.baidu.com/s?id=1663007387230635543

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
1

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 今天河北快三推荐豹子 广西快十开奖走势图 赌快乐赛车怎样看走势 股票涨跌免费预测 股票发行价格 河北11选五是不是要取消了 四川快乐十二开奖结果查询结果一 北京体彩快中彩开奖 福建快3开奖结果查询今天 青海快三规律