开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

苹果修复iOS严重漏洞,黑客可从设备窃取cookie

简介:
+关注继续查看

近日,苹果修复了iOS中一个严重的漏洞。这个漏洞允许黑客伪装成终端用户,获取网站未加密cookie的读写权限。

苹果修复iOS严重漏洞,黑客可从设备窃取cookie

随着周二发布的iOS 9.2.1,该漏洞被修复,距它首次被报告给苹果已历时三年。

这个漏洞被称作“Captive Portal”(强制主页)漏洞,最初是由网络安全公司Skycure 的Adi Sharabani和Yair Amit发现的,他们在2013年6月私下报告给了苹果。

漏洞如何产生

该漏洞是因为iOS在Captive Portals存储cookie的方式出了问题,它生成了一个登录页面,要求用户第一次连接到免费脆弱的公共wifi热点时,强制跳转到该页面进行身份验证。

所以,当某用户在使用有漏洞的iOS产品时,他们连接到这样的网络后会发生下面的情况,这种情况通常发生在咖啡厅、酒店、机场。

苹果修复iOS严重漏洞,黑客可从设备窃取cookie

iOS漏洞导致cookie的失窃

一旦接受后,受影响的用户可以正常上网。但是,嵌入式浏览器会共享Safari浏览器里存储的未加密的cookie。

据Skycure周三发布的博文称,这个漏洞能让黑客在创建伪造的Captive Portal,并接入wifi时,一旦iOS用户进行连接,他们就能够窃取在设备上未加密的cookie。

黑客可以执行的攻击列表

据研究人员称,Captive Portal漏洞可以让黑客:

进行模拟攻击:黑客可以窃取用户的未加密(HTTP)的cookie,然后伪装成受害者登录网站。

进行会话固定攻击:黑客会让受害者进入了黑客控制的账户,因为cookie为共享存储。当受害者使用Safari移动版浏览器浏览了受影响的网站时,他们就登入了黑客的账户,而不是自己的。

进行指定网站的缓存投毒攻击:黑客会给受害者返回缓存头部的HTTP响应包。在这种情况下,黑客可以在受害者每次通过Safari移动版浏览器连接网站时,执行恶意JS脚本。

为你的设备打上补丁

该漏洞会影响iPhone 4S和iPad 2及以后的版本。然而,该漏洞在iOS 9.2.1后被修复。在此以后,Captive Portal的cookie都会单独进行存储,由此规避了黑客攻击。

Skycure表示,这是苹果修复期最长的一个漏洞,但是补丁打的毕竟复杂,暂时没有看到互联网上有绕过它的迹象。

所以,为了让您规避这样的攻击,请在设置菜单里下载iOS 9.2.1,更新您的系统吧。


作者:dawner

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
iOS小技能:设备ID除了使用_idfa、_idfv 还可使用其他替代方案(Keychain 存储)
设备信息的获取:除了使用_idfa、_idfv, 还使用sysct 获取cpu信息。
0 0
开源云真机平台Sonic(Windows端)接入iOS设备实践
开源云真机平台Sonic(Windows端)接入iOS设备实践过程,及相关注意事项。
0 0
超好用的iOS设备管理软件——iMazing2.16.2官方免费下载
iMazing的魅力,让每一个使用者都无法抵挡。在基础功能上丝毫不逊色于iTunes,更何况还具备诸多特色功能,各种文件的流畅导入、导出,添加了完整的设备控制台窗口,以及对系统和第三方应用程序日志文件的访问,可查看保修状态,能够精准捕捉用户的痛点,然后推出针对性的功能,这大概是iMazing广受大众欢迎的重要原
0 0
iOS设备管理软件imazing2.16.2官网2023最新免费下载
iMazing是一款兼容Win和Mac的iOS设备管理软件。iMazing能够将音乐、文件、消息和应用等数据从任何 iPhone、iPad 或 iPod 传输到 Mac 或 PC 上。iMazing轻松管理和备份您的 iOS 设备,无需使用 iTunes,iMazing以自己的方式管理 iPhone。让备受信赖的软件为您传输和保存音乐、信息、文件和数据。安全备份任何 iPhone、iPad 或 iPod touch。iMazing 功能强大、易于使用,称得上是 Mac 和 PC 上最好的 iOS 设备管理器。
0 0
iMazing2023体验版ios设备管理软件
iTunes最早是一款音视频管理软件,后来在苹果推出了iPhone和iPad后,便又在管理音视频的基础上增加了iPhone和iPad的管理。由于iTunes使用起来非常麻烦,很多苹果用户直接把设备的数据转存到云端。虽然这样看起来使用很方便,但是随着设备的存储容量越来越大,使用的APP和存放的数据越来越多,包括隐私等问题,在本地进行备份和管理都是很有必要的。iMazing2023下载:http://t.csdn.cn/TAtXj
0 0
ios设备管理软件iMazing2.16.2 官网2022最新版免费下载以及新增功能
iMazing是一款iOS设备管理软件,该软件支持对基于iOS系统的设备进行数据传输与备份,用户可以将包括:照片、音乐、铃声、视频、电子书及通讯录等在内的众多信息在Windows/Mac电脑中传输/备份/管理。 iMazing是一款第三方的苹果iOS设备管理软件。大家将iPhone、iPad或iPod连接到电脑后,可以用它进行音乐传输、照片传输、数据备份等操作。
0 0
imazing2023许可证码第三方iOS设备管理软件
iMazing是一款iPhone备份软件,使用iMazing几乎可以备份iPhone的全部数据,不仅包括照片、视频,还包括短信、通讯录,APP数据等。
0 0
python批量启动ios设备的WebDriverAgent
python批量启动ios设备的WebDriverAgent
0 0
iMazing22强大免费的iOS设备管理软件
iMazing是针对苹果手机的一款管理软件,软件支持几乎所有型号的苹果手机设备,可以轻松识别连接到电脑上的iphone手机设备并进行连接。很多朋友管理苹果iphone、ipad和ipod、ios的时候都使用的是官方的iTunes软件,iTunes功能还是比较弱的,小编给大家分享一款第三方多功能苹果iphone、ipad和ipod、ios设备管理软件,它就是imazing。
0 0
python批量启动ios设备的WebDriverAgent
python批量启动ios设备的WebDriverAgent
0 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
Facebook iOS App技术演化十年之路
立即下载
From Java_Android to Swift iOS
立即下载
深入剖析 iOS 性能优化
立即下载