原标题:在公共场所用电脑帮iPhone充电要小心!手机上的敏感资料可能不知不觉被偷了
图片来源:Symantec
赛门铁克在RSA会议上面揭露,iOS装置存在Trustjacking漏洞,骇客能误导使用者信任恶意电脑,授予骇客iOS装置的控制权,而骇客之后便能以iTunes△Wi-Fi同步功能,持续的远端控制该装置。目前Apple已经采取输入密码再验证的方式减缓Trustjacking攻击,但是除非使用者自己提高警觉,否则仍有被攻击的可能。
赛门铁克现代作业系统资深安全副总裁Adi△Sharabani和现代作业系统研究小组负责人Roy△Iarchy于4月18日在旧金山举行的RSA安全大会上发表演讲,揭露利用iTunes△Wi-Fi同步功能的Trustjacking攻击。
Roy△Iarchy提到,过去这类型的攻击,都在讨论未授权的USB连接,以获取行动装置敏感资料的方法,但是现在揭露的Trustjacking攻击只需要一次性的实体连结,后续通过远端连线就能达到相同目的,而且影响更为长久。
iTunes△Wi-Fi同步功能允许iOS装置与iTunes通过Wi-Fi连线进行同步。要启用iTunes△Wi-Fi功能之前,需要先通过USB线连结电脑以及iOS装置,第一次连接时,iOS装置会弹出选项,询问使用者是否信任该电脑,在使用者点选信任后,电脑便能通过标准iTunes△API和iOS装置进行沟通,而且即便使用者中断iOS装置与电脑的连线,背景的连线仍会持续进行。
一旦使用者同意信任该电脑,电脑便能存取iOS装置上的照片、执行备份、安装应用程序,当然也包含启用iTunes△Wi-Fi,而这些工作都不需要iOS装置额外确认,因为Apple预设相信操作者为iOS装置拥有人。
骇客利用Trustjacking漏洞,可以轻松的通过网络反复请求iOS装置的荧幕结图,便能持续获得使用者的敏感资讯,而且没有其他有效的机制可以终止恶意电脑的连线。
整个过程看似繁杂,骇客不只需要使用者将iOS装置连接到iTunes,而且还要启用iTunes△Wi-Fi同步功能。Roy△Iarchy说:“想像一下,当你在机场的时候,这一切都会变的合理,弹出信任讯息你会以为要对充电行为收费,会自然以为是合法的服务”使用者一旦信任该恶意电脑后,其他程序恶意程式可以自动执行。
Apple对此漏洞暂时采取再验证的机制,当iOS装置要信任该电脑时,需要重新输入密码以确保为使用者本人的操作。但是Roy△Iarchy表示,这个机制并不会完全解决Trustjacking攻击,而且把验证工作完全交给使用者,一旦使用者选择信任恶意的电脑,那攻击仍会发生。
相关:
图片来源: FoundationDB 苹果于本周四(4/19)开源了分散式资料库FoundationDB核心,号召开源社交一同建立更多的FoundationDB应用层与功能。2009年成立的FoundationDB在2015年被苹果收购,它为一分散式资料库,可被部
在外打拼的工作者,肯定少不了的就是租房了,一般我们租房有直接通过房东的,或者有的是通过中介,中介的话是要收取一定的介绍费的。不过在近日在北京曝光黑中介了,这也警醒大家以后租房要小心了。租房要注意什么 房
包含脸书、LinkedIn、推特等4800万笔用户资料被曝露于未上锁的Amazon S3上
图片来源: UpGuard 社交网站资料风险再现!研究人员发现一家小型资料公司在未经使用者同意情况下搜集包括脸书、LinkedIn、推特及不动产网站等服务用户高达4800?万笔资讯,而且储存于未设防的Amazon△S3储存服务上。创
在资料视觉化占有重要地位的D3.js释出5.0版本,除了增加Promise与Fetch的非同步样板(Asynchronous△Patterns△)外,还更新了主要的视觉化API,现在弃用d3.schemeCategory20,提供更准确的颜色以及新的地理投影方法
美最高法院驳回司法部搜索官司,但微软最终恐得交出海外伺服器资料
示意图,与新闻事件无关。 美国最高法院周二驳回美国司法部要求微软交出海外伺服器资料的搜索令官司,使多年官司落幕,但最终微软最后可能得交出海外伺服器资料。这项驳回动作将使微软与美国司法部打了5年的官司落