请选择 进入手机版 | 继续访问电脑版

大唐名人网

 找回密码
 暂停注册
大唐名人网 门户 IT 查看内容

这就是最让苹果头疼的iOS漏洞

2016-1-22 22:02| 发布者: admin| 查看: 233| 评论: 0

  2016-1-22 8:45:01 新浪科技

  责编:刀马

  苹果近期修复了iOS系统的一个关键漏洞。利用这一漏洞,黑客可以获得网站的无加密身份认证Cookie的读写权限,从而冒充终端用户的身份。

这就是最让苹果头疼的iOS漏洞

  本周二,苹果在发布的iOS 9.2.1版本中修复了这一漏洞。这距离漏洞的发现和报告已有3年时间。这一漏洞也被称作“强制门户”漏洞,最初由互联网安全公司Skycure的艾迪·沙拉巴尼(Adi Sharabani)和亚尔·艾米特(Yair Amit)发现,并于2013年6月报告给苹果。

  这一漏洞与iOS系统在强制门户页面处理设备保存的Cookie的方式有关。强制门户很常见,当用户连接免费或付费公共WiFi热点时,常常会看到这样的登录页面。

  当用户使用有漏洞的iPhone或iPad,在咖啡店、酒店或机场访问带强制门户的网络时,登录页面会通过未加密的HTTP连接显示网络使用条款。在用户接受条款后,即可正常上网,但嵌入浏览器会将未加密的Cookie分享给Safari浏览器。

  根据Skycure的说法,利用这种分享的资源,黑客可以创建自主的虚假强制门户,并将其关联至WiFi网络,从而窃取设备上保存的任何未加密Cookie。

  研究人员指出,通过这一漏洞,黑客可以进行伪装攻击、会话固定攻击,以及缓存中毒攻击。

  这一漏洞影响了自iPhone4s和iPad2之后的所有iOS设备。苹果在iOS 9.2.1中解决了这一漏洞。新版本系统针对强制门户采用了隔离的Cookie存储方式。

  Skycure表示,这是苹果有史以来修复一个漏洞所花费的最长时间,但这一补丁相对于普通的漏洞修复更复杂。此外该公司表示,目前尚未接到关于黑客使用这一漏洞展开攻击的报告。

  微信搜索“IT之家”关注抢6s大礼!下载IT之家客户端(戳这里)也可参与评论抽楼层大奖!


相关阅读

投稿、合作、联系:admin2#tangedu.cn| 小黑屋|网站地图|大唐名人网 |京ICP备07504790号|

GMT+8, 2019-9-24 02:40 , Processed in 0.087691 second(s), 23 queries .

Powered by Discuz!

© 2001-2015 Comsenz Inc.

返回顶部