开发者社区> 玄学酱> 正文

iPhone这个漏洞有些严重 上亿用户存潜在危险

简介:
+关注继续查看

苹果公司一直以来强调iOS系统的安全性,用户也为了隐私原因肯购买“牢不可破”的iPhone、iPad和其他苹果装置,虽然经过美国女明星iCloud照片泄漏、FBI破解iPhone 5c等让苹果公司颇为难堪的事情,业内人士和消费者对于iOS的安全性还是颇为认可的,不过苹果系统最新的漏洞就让苹果iOS系统安全的口碑有些尴尬,黑客甚至只需要知道某个iPhone用户的手机号码,就可以利用这个安全漏洞窃取用户的密码,只需一个简单的短信而已。

iPhone用户不打开黑客的恶意短信也会中招

在福布斯杂志一篇文章中Apple Lovers Get Patching -- Just One Text Can Steal Your iPhone Passwords《果粉懵了——只要一个短信就能窃取你的iPhone密码》披露了这个安全漏洞,华尔街日报也进行了报道Be Safe: Update Your iPhone, iPad and Other Apple Devices Now《安全起见:升级iPhone、iPad和其他的苹果装置》。最初发现iOS这个安全漏洞的是思科公司Talos研究所的资深安全研究员Tyler Bohan,而这个漏洞存在于所有版本的iOS和OS X系统中,只有苹果公司7月18日发布的最新版本杜绝了这一漏洞,所以可以判断出,在Tyler Bohan发现这一漏洞并告知苹果公司后,苹果公司在新的系统升级中封堵了这一安全漏洞,然后才有媒体的报道出现,所以不知道Tyler Bohan发现这个漏洞多久,而且不知道这个漏洞是否被黑客发现和利用过。苹果公司不能自己说设备不安全,而总要促使已经购买苹果装置的消费者升级,媒体报道就是一个好的途径。

iOS系统中的安全漏洞存在于ImageIO中,是苹果设备用来处理图片数据的程序,黑客可以利用iPhone中的iMessage发送多媒体短信,短信中包括黑客创建的TIFF图片格式的攻击程序,即使iPhone的持有者不点开这个TIFF格式的图片,也无法避免中招,因为iMessage会自动渲染图片的数据,也就是说只要iMessage是激活的,用户接收到恶意的多媒体短信,恶意程序就进入了用户的iPhone系统中,恶意程序就可以窃取存储于内存中的密码了。包括但不限于

而且攻击iOS和OS X系统这一安全漏洞的方式不止这一种,黑客也可以将同样的程序用电子邮件发送,用户如用苹果iOS和OS X系统的Safari浏览器访问包含恶意程序的网站,一样逃不掉中招。

上亿的苹果iOS用户存在潜在的危险 而苹果电脑用户更危险

根据公开的报道,只有苹果公司在被Tyler Bohan告知后发布的新版本iOS,即iOS9.3.3版本是安全的,OS X的El Capitan 10.11.6版本是安全的。之前所有的iOS和OS X版本都不安全!

目前尚无数据这一漏洞会影响到多少人,不过根据苹果公开数据估算,保守也有上亿的iOS和OS X系统用户会存在潜在的风险。

根据苹果公司季报公布的数据,历代iPhone和iPad的销售量超过6.9亿部,而苹果公司公布过iOS 9版本发布后的升级情况,但仍然有14%的苹果设备还在运行iOS 8或之前的版本,简单算下就是,9700万部iOS设备,这还不算iOS 8和iOS 9.3.3之间的版本,所以上亿的苹果设备用户是有潜在风险的。苹果设备用户还是很喜欢升级系统的,苹果公司该庆幸有这么好的果粉,Android系统用户升级更加缓慢,截止2016年6月6日,不同的Android操作系统版本中,升级到Android 6.0 Marshmallow版本的用户仅有10.1%,5.0 Lollipop版本的用户是35.4%,也就是说还有一半以上的Android用户在使用2014年之前的系统版本。

为了安全,请升级iPhone、iPad和其他苹果装置

不过好在iOS系统有沙箱保护措施,能够阻止黑客获取整个设备的控制权,Mac OS X, tvOS 和watchOS则没有这么幸运,也就是说苹果电脑的用户,如果误点黑客发来的电子邮件,就会将电脑控制权拱手让出。

目前安全公司已经建议iOS用户升级到最新的系统,而同时也在建议Windows系统的iTunes,Safari, tvOS, watchOS 和OS X El Capitan用户进行升级。

另外一种避免中招的方法是,如果用户不想升级到最新的iOS系统,就需要关闭iMessage程序并禁止MMS短信,就是相当于放弃接受任何图像信息,只接受文字短信了。

苹果公司在7月18日发布的iOS 9.3.3修补了43个漏洞,OS X El Capitan v10.11.6则修补了60个漏洞。之前苹果在不同设备系统之间使用相同的功能,这样会降低用户使用的切换成本,但也造成同样的漏洞会出现在不同设备的系统中。所幸有发现漏洞的研究员通知了苹果公司,但如果黑客发现的比研究员更早呢?苹果公司恐怕无法像好莱坞明星照片泄漏事件中一样撇清iCloud的关系了,届时苹果公司在系统安全上辛辛苦苦建立的口碑就会遭到重击。即使有人认为,苹果的系统在安全性上仍然是最好的,用户仍然会选择,不过Android或者其他任何系统只要在安全上有任何可以吸引对iOS安全有疑虑的人,苹果的护城河就出现了一丝裂缝,这是真心爱护苹果产品的人所不愿意见到的。





====================================分割线================================


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
13836 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
25130 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
18789 0
高通TrustZone接口QSEECOM Use-After-Free漏洞分析
#高通QSEECOM接口漏洞(CVE-2019-14040)分析 #阿里安全(侯客) ##背景:  上周五看到一篇国外的安全公司zimperium的研究人员写的一篇他们分析发现的高通的QSEECOM接口漏洞文章,[https://blog.zimperium.com/multiple-kernel-vulnerabilities-affecting-all-qualcomm-d
799 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20709
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载