安全研究人员兼iOS黑客pod2g详述了一个影响所有iPhone的“严重”安全漏洞,他说这可能会方便黑客或窃贼访问你的个人信息。该漏洞涉及一个恶意方欺骗“回复”号码,实质上迫使你发送短信到一个不同的号码比你最初打算的。根据pod2g的说法,这个缺陷存在于最新的ios6 beta4之前的所有版本中。
SMS缺陷利用了PDU(协议描述单元)中的一项功能—该协议处理移动设备中各种类型消息的发送和接收。消息头中包含了与电子邮件头类似的各种有关消息的信息,包括发件人的详细信息。此功能通常用于公司和运营商的自动消息,可以利用此功能,因为运营商在被第三方使用时不会检查此信息的有效性。虽然所有设备都能接收这些消息,但iOS不允许您查看正在回复的号码。这使得一个恶意的发送者伪造他的身份,使你认为一个可信的号码正在发送短信。由于“回复”号码与显示的号码不同,iOS会将您的信息发送到一个隐藏号码,而您却没有意识到。
虽然这是苹果应该解决的问题,但目前并没有任何危险,因为公司和金融机构永远不会鼓励通过短信共享敏感数据。研究人员表示,这可能被用来冒充你的银行或指控你有罪,但很难想象一个用户会开始通过短信泄露敏感信息的情况。事实上,这个缺陷从iOS诞生之初就已经存在,但并没有被大规模地利用,这足以说明问题。
更新:这个故事的早期版本错误地描述了iPhone上的回复行为。Messages应用程序向用户显示并发送任何回复到SMS回复到字段中指定的号码。向任何电话发送消息时,此字段都可能被欺骗。但是,由给定设备上的SMS实现来确定是否显示实际的发送者或对信息的回复。
...于这个原因提供了所谓的bug奖励,向发现这些漏洞的安全研究人员提供了超过100万美元的奖励,并提醒苹果注意它们的存在。虽然看起来(而且是!)苹果指出安全漏洞,并指出在面向公众的产品中存在这些缺陷的潜在危险,这...
...守负责任的披露准则而受到批评。负责任的披露要求安全研究人员告知公司安全威胁,以便有时间修复缺陷。在缺陷被修复之后,研究人员就可以向公众展示他们的发现了。 ...
...的存在,因为曼苏尔将他感染的短信转发给多伦多的安全研究人员。他们设法在发送到曼苏尔的链接变为不活动之前解包并隔离了间谍软件。那它做什么呢? ...
... 研究人员能够通过解密WhatsApp通信来做到这一点。这使他们能够看到移动版和网络版WhatsApp之间发送的数据。从这里,他们可以改变群聊的价值观。然后他们可以模仿其他...
...现,它针对iPhone设备通过网站多年。谷歌宣布,作为其零安全分析任务的一部分,谷歌已经发现了这个问题,并显示了黑客如何在两年内访问数千台设备。 ...
...流存储库,一个简化节点.js发现流模块包含模糊代码。当研究人员对代码进行除臭后,很明显它的目标是比特币盗窃。 ...
...入Messages应用程序的坏人打开了许多新的攻击载体。安全研究人员一直警告说,苹果流行的iMessage消息功能在清除传入的用户数据方面做得很差。 ...
... 近几个月来,安全研究人员发现了一系列iOS安全漏洞,这些漏洞可用于有针对性的攻击。在向他们中的一些人透露消息后,苹果公司在iOS14.4和iPadOS14.4中加入了必要的安全补丁。 ...
... IOActive实验室的一位研究人员对微软如何允许安装mod很感兴趣。过去,从微软商店下载的游戏往往是在沙盒环境中运行的,因此用户必须通过额外的限制才能在游戏中运行mod。微软是如何让这...