根据国外媒体报道,安全研究专家发现,在iOS的ImageIO框架之中存在一个严重的安全漏洞(CVE-2016-4631),远程攻击者可以利用这个漏洞从苹果设备中窃取敏感信息。
广大苹果的粉丝们,我有一个坏消息要告诉大家。通过一条精心设计的短消息,攻击者就可以窃取你的个人信息,这些信息包括存储在用户苹果设备内存中的用户身份凭证。
这也就意味着,你的WiFi密码,登录凭证,以及电子邮箱账号等信息都可以被黑客轻易获取到。
CVE-2016-4631这个严重的安全漏洞让我们想起了当初曾出现在安卓操作系统中的Stagefright漏洞。当时安全研究专家就曾表示,通过这个安卓操作系统中的漏洞,攻击者就可以利用一条精心设计的短信来监视目标用户的操作行为。
这个严重的安全漏洞(CVE-2016-4631)存在于iOS的ImageIO框架中。ImageIO框架其本质是一个应用程序编程接口(API),它可以为几乎所有的苹果操作系统处理各种图片数据,包括Mac OS X,watchOS,以及tvOS等苹果设备的操作平台。据了解,这个存在于ImageIO框架中的漏洞(CVE-2016-4631)是由Cisco Talos团队的高级安全研究专家Tyler Bohan所发现并报告的。
根据安全研究专家的描述,这个漏洞的利用场景非常简单,而且攻击效率也很高。攻击者只需要在一个标签图像文件格式(TIFF)的图片中嵌入恶意的漏洞利用代码,然后将这条多媒体信息通过彩信或者iMessage的形式发送至目标用户的设备,就可以实现对目标设备的攻击了。
当目标用户接收到这条恶意短信时,漏洞将会被触发,漏洞利用代码将会自动执行。
除此之外,安全研究专家还发现,漏洞利用代码还可以通过Safari浏览器来进行传播。在这一攻击场景中,目标用户必须访问一个加载了恶意漏洞利用代码的网站。用户在访问了这一恶意网站之后,浏览器将会处理并执行网站页面中所加载的攻击代码。
在这两种攻击场景中,都不需要用户进行非常明确的交互行为。因为当目标设备接收到那些嵌入了恶意代码的图片文件之后,设备中的应用程序将会自动处理这些数据。
但坏消息就是,对于普通的苹果用户而言,这种类型的攻击是很难检测到的。
Bohan在接受福布斯新闻的采访时表示:“相比于安卓操作平台的Stagefright漏洞,这个漏洞的危害程度则更加严重。考虑到多媒体信息的存储和传输机制,恶意短信的接收者想要防止这类攻击实际上是非常困难的。攻击者可以随时向你的设备发送恶意短信,无论你的手机何时开机,只要你的手机一上线,你将会接收到这条攻击短信。这也就意味着,你的手机被攻击了,攻击者也就获取到了你的个人信息。”
安全研究专家表示,因为这种攻击方式能够对iOS和Mac OS X平台产生影响,而这两种系统平台下的沙箱保护机制又有所不同,所以他们还需要对这类攻击方式进行进一步的区分。
由于iOS操作系统中有沙箱机制来保护设备的安全,所以只有能够在获取到目标设备的root权限之后,漏洞利用代码才能够攻击目标设备,并获取到移动设备的完整控制权限。这也就意味着,只有越狱后的iOS设备才会受到这类攻击的影响。
由于Mac OS X操作平台中并不存在沙箱保护机制,所以攻击者针对Mac OS X操作系统的攻击将会更加简单。
根据苹果公司最新发布的安全公告,这个严重的漏洞已经在最新版本的iOS 9.3.3中得到了修复。
既然你已经知道了攻击者可以利用这个漏洞来攻击苹果设备,那就请你不要再浪费时间了,赶紧去更新你的设备吧!
请你不要低估黑客,他们会在很短的时间内找到利用CVE-2016-4631漏洞的其它方式,所以我们永远都不会是绝对安全的。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
发表评论