苹果修复iOS严重漏洞,黑客可从设备窃取cookie

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

近日,苹果修复了iOS中一个严重的漏洞。这个漏洞允许黑客伪装成终端用户,获取网站未加密cookie的读写权限。

苹果修复iOS严重漏洞,黑客可从设备窃取cookie

随着周二发布的iOS 9.2.1,该漏洞被修复,距它首次被报告给苹果已历时三年。

这个漏洞被称作“Captive Portal”(强制主页)漏洞,最初是由网络安全公司Skycure 的Adi Sharabani和Yair Amit发现的,他们在2013年6月私下报告给了苹果。

漏洞如何产生

该漏洞是因为iOS在Captive Portals存储cookie的方式出了问题,它生成了一个登录页面,要求用户第一次连接到免费脆弱的公共wifi热点时,强制跳转到该页面进行身份验证。

所以,当某用户在使用有漏洞的iOS产品时,他们连接到这样的网络后会发生下面的情况,这种情况通常发生在咖啡厅、酒店、机场。

苹果修复iOS严重漏洞,黑客可从设备窃取cookie

iOS漏洞导致cookie的失窃

一旦接受后,受影响的用户可以正常上网。但是,嵌入式浏览器会共享Safari浏览器里存储的未加密的cookie。

据Skycure周三发布的博文称,这个漏洞能让黑客在创建伪造的Captive Portal,并接入wifi时,一旦iOS用户进行连接,他们就能够窃取在设备上未加密的cookie。

黑客可以执行的攻击列表

据研究人员称,Captive Portal漏洞可以让黑客:

进行模拟攻击:黑客可以窃取用户的未加密(HTTP)的cookie,然后伪装成受害者登录网站。

进行会话固定攻击:黑客会让受害者进入了黑客控制的账户,因为cookie为共享存储。当受害者使用Safari移动版浏览器浏览了受影响的网站时,他们就登入了黑客的账户,而不是自己的。

进行指定网站的缓存投毒攻击:黑客会给受害者返回缓存头部的HTTP响应包。在这种情况下,黑客可以在受害者每次通过Safari移动版浏览器连接网站时,执行恶意JS脚本。

为你的设备打上补丁

该漏洞会影响iPhone 4S和iPad 2及以后的版本。然而,该漏洞在iOS 9.2.1后被修复。在此以后,Captive Portal的cookie都会单独进行存储,由此规避了黑客攻击。

Skycure表示,这是苹果修复期最长的一个漏洞,但是补丁打的毕竟复杂,暂时没有看到互联网上有绕过它的迹象。

所以,为了让您规避这样的攻击,请在设置菜单里下载iOS 9.2.1,更新您的系统吧。


作者:dawner

来源:51CTO

相关文章
|
2月前
|
Android开发 iOS开发 UED
探索未来:Android与iOS在智能穿戴设备上的较量
随着科技的飞速进步,智能穿戴设备已经成为我们日常生活中不可或缺的一部分。本文将深入探讨两大操作系统——Android和iOS——在智能穿戴领域的竞争与发展,分析它们各自的优势与挑战,并预测未来的发展趋势。通过比较两者在设计哲学、生态系统、用户体验及创新技术的应用等方面的差异,揭示这场较量对消费者选择和市场格局的影响。 【7月更文挑战第31天】
30 0
|
4月前
|
机器学习/深度学习 PyTorch TensorFlow
是否有其他框架可以在iOS设备上进行机器学习?
是否有其他框架可以在iOS设备上进行机器学习?
41 1
|
3月前
|
存储 安全 编译器
我给 iOS 系统打了个补丁——修复 iOS 16 系统键盘重大 Crash
我给 iOS 系统打了个补丁——修复 iOS 16 系统键盘重大 Crash
117 2
我给 iOS 系统打了个补丁——修复 iOS 16 系统键盘重大 Crash
|
1月前
|
iOS开发 开发者
iOS 16 系统键盘修复问题之汇编层面模拟两次返回操作的实现如何解决
iOS 16 系统键盘修复问题之汇编层面模拟两次返回操作的实现如何解决
|
1月前
|
存储 iOS开发
iOS 16 系统键盘修复问题之确定UIKeyboardTaskQueue类对_lock的加锁和解锁操作如何解决
iOS 16 系统键盘修复问题之确定UIKeyboardTaskQueue类对_lock的加锁和解锁操作如何解决
|
1月前
|
运维 网络安全 iOS开发
厉害!外国网络工程师用Ansible给思科IOS设备升级!
厉害!外国网络工程师用Ansible给思科IOS设备升级!
|
1月前
|
编译器 C语言 iOS开发
iOS 16 系统键盘修复问题之确定_lock是否用于保护对_deferredTasks的多线程读写如何解决
iOS 16 系统键盘修复问题之确定_lock是否用于保护对_deferredTasks的多线程读写如何解决
|
1月前
|
存储 安全 iOS开发
iOS 16 系统键盘修复问题之确定UIKeyboardTaskQueue类中对_lock的使用是否正确如何解决
iOS 16 系统键盘修复问题之确定UIKeyboardTaskQueue类中对_lock的使用是否正确如何解决
|
1月前
|
BI Linux 数据安全/隐私保护
忘了 iOS(iPad、IPhone) 设备上的「屏幕使用时间」密码怎么办?找回屏幕密码
忘了 iOS(iPad、IPhone) 设备上的「屏幕使用时间」密码怎么办?找回屏幕密码
39 0
|
2月前
|
Android开发 数据安全/隐私保护 iOS开发
探索未来:安卓与iOS在智能穿戴设备领域的较量
随着科技的飞速发展,智能穿戴设备已逐渐成为我们日常生活的一部分。从健康监测到通讯交流,它们正以惊人的速度改变着我们的生活方式。本文将深入探讨安卓和iOS这两大操作系统在智能穿戴领域的现状、竞争以及未来发展趋势,揭示它们如何通过创新技术满足用户需求,并预测未来可能的发展方向。
29 0