主页 / 社会 > 海外 > 正文

海外公司收购iOS9漏洞 悬赏300万美元

2015-09-22 16:47:46   来源:科技生活在线   评论:0   [收藏]   [评论]
导读:小编按:所谓“零日漏洞”,指的是漏洞在曝光之后快速被网络黑客所利用发动攻击,相关的厂商甚至来不及发布补丁修补漏洞。对于黑客灰色产业链而言,“零日漏洞”的价值远远超过常规的漏洞。
\

  苹果iOS开发平台被“XCodeGhost”木马感染,导致大量iOS版本的应用软件成为“恶意软件”,这一重大事件,让“苹果iOS安全性超过安卓”的“神话”被彻底击碎。许多果粉惊讶,原来苹果手机和平板也如此不堪一击!

  苹果iOS系统的漏洞,远远不止上述一宗。据外媒报道,一家国外安全公司日前宣布,将最高花费300万美元采购苹果iOS9操作系统中的“零日漏洞”。

  所谓“零日漏洞”,指的是漏洞在曝光之后快速被网络黑客所利用发动攻击,相关的厂商甚至来不及发布补丁修补漏洞。对于黑客灰色产业链而言,“零日漏洞”的价值远远超过常规的漏洞。

  据美国科技新闻网站“连线”报道,本周一,一家名为Zerodium的公司对外宣布,出价100万美元征集iOS9操作系统的“零日漏洞”。另外如果漏洞的价值足够大,该公司愿意为一个漏洞支付最高300万美元的价格。

  这是历史上安全公司或者其他需要软件漏洞的情报部门,为单一漏洞开出的最高价码。

  该公司征集的iOS9系统漏洞,可以被用来通过远程方式攻击苹果手机或平板,或是通过网页应用、移动软件,甚至是传统短信等方式,对苹果设备发动攻击。

  该公司表示,通过安全性能的不断增强,苹果iOS目前已经是最安全的移动操作系统,“但是不要被愚弄了,安全并不意味着牢不可破。”该公司表示,所谓的安全只是意味着黑客在利用其软件漏洞发动攻击的复杂性和成本最高。

  征集到这些苹果iOS漏洞之后作何用途?这家公司并未对外宣布。

  据报道,Zerodium的创始人名叫贝克拉(Chaouki Bekrar),在所谓的安全漏洞灰色市场中,此人大名鼎鼎。除了这家安全公司之外,他还在法国巴黎开办了一家名为Vupen的公司。

  这家法国公司的业务颇受争议,他们专门开发针对知名软件的攻击手段,然后将漏洞和攻击方式转让给全世界的政府情报部门。

  美国媒体指出,通过高价征集iOS9的漏洞,贝克拉实际上已经成为一种“黑客中间人”的角色。

  在更主流的网络安全行业中,如果一家安全公司发现了漏洞,将会报告给微软、苹果和谷歌等公司开发漏洞补丁,而在补丁发布之后,安全公司会通过行业大会等发布漏洞,借此提高公司在行业内的声望,另外苹果、谷歌等公司也会通过现金的方式,对主动报告漏洞表示感谢。

  在相关厂商置之不理的情况下,一些安全公司和专家也会主动向科技媒体进行爆料,提醒相关产品的用户注意安全防范。

  和常规做法不同的是,贝克拉和他的Vupen公司,不会主动报告漏洞,而是通过转让来谋取利益。不过该公司的转让对象是否包括不良之徒和犯罪组织,尚不得而知。

  安全漏洞灰色市场的存在已经不是秘密。谷歌、微软等公司都会花费重金向安全行业征集自家软件的漏洞。

  七月份据美国媒体报道,美国海军的情报部门也曾经向安全行业“收购”知名软件的安全漏洞,收购内容中还包括可以发动网络攻击的二进制程序。这些漏洞是“零日漏洞”或是“N日漏洞”。

  此前,英国路透社曾经报道,美国政府情报部门是全世界最大的“零日漏洞”买家,尚未被公开的高价值“零日漏洞”起价高达5万美元。(腾讯科技)

  资料+

  苹果推出最新iOS9系统后风波不断,新一代iOS除了加入多项新功能及优化机能外,还出现了一些问题频遭用户吐槽,比如微博的界面语言变成英文,很多网友直呼看不懂。在历届iOS系统中,不乏许多让用户叫苦不迭的漏洞,有的会影响使用效果,有的甚至会泄露个人隐私。

  1、iOS 9微博界面语言变英文 惊呆网友

  按道理说,正式版iOS 9应该比此前测试版稳定得多,但仍有果粉反应在使用中发现不少问题。除部分用户反应卡顿现象外,还有人表示部分APP在系统升级后自动变成英文,尤其是社交类APP如微博等问题比较突出。一些网友声称,自己英语不好只能靠感觉使用软件。不过很快,微博客服便公布了应对此问题的方法,通过简单操作就可恢复显示中文。

  2、苹果AirDrop传输曝严重漏洞 iOS 9已修复

  此前,iOS8内置的AirDrop功能存在一个严重安全漏洞,能让黑客远端监控及植入恶意程式破坏用户系统及窃取个人资料。这个漏洞能让黑客绕过“同意/拒絶”接收文件的步骤,令受攻击者直接接收文件。或是让黑客植入的文件覆盖于任何文件上,令受攻击者打开该文件时,就会受到远程监控,危害相当严重。而在此前发布的iOS 9中,这个漏洞得到修复,也成为升级iOS 9的一大优势。

  3、iCloud流出明星艳照 苹果拒担责任

  好莱坞艳照门事件的发生与iCloud 服务漏洞脱不开关系。国外黑客借助密码破解漏洞攻击了iCloud云端,造成美国好莱坞数十位当红女星卷入艳照外泄事件。事件发生之后,苹果单方面撇清了自己的责任。但为了保险起见,苹果采取两部认证的方法来加强iCloud服务的安全性。除了用户密码之外,用户还需要输入验证码,两步认证让大量的自动破解工具无功而返。

  4、iOS 7大漏洞 “找到我的iPhone”找不到了

  用于帮用户丢失手机后找回的“找到我的iPhone”功能,在iOS 7的漏洞面前彻底失灵。利用这项安全漏洞,可以绕开密码关闭“找到我的iPhone”选项,同时还能删除设备上的iCloud账户。只要在iCloud设置面中同时按下“删除帐号”以及关闭Finde My iPhone功能的开关,然后只需要在系统弹出密码输入框时按住电源键关闭手机然后再开机,便可以绕过密码验证程序。

  5、iOS 6被删短信死而复生 网友称斗小三新武器

  iOS 6曾出现过删除短信死而复生的乌龙事件,遭到网友一片调侃。据了解,iPhone短信在被用户删除后,通过手机自带的搜索功能,输入关键字竟能让原本已删的短信“死而复生”。有网友调侃,在男友的iPhone里搜‘我爱你’,如果蹦出的不是你,只能祝你……不少网友都把这个功能当成了斗小三、起底枕边人的新武器。

  6、iOS 5现重大Bug:WiFi连接成摆设

  iOS 5发布后也曾出现许多问题,除电池消耗过快之外,最大的BUG就是WiFi无法实现正常功能。在升级iOS 5.0以后,就出现了Wifi信号衰弱,甚至间歇性丢失Wifi的情况。有不少用户表示,经常会无法连接到Wifi,即使连接成功信号强度也非常微弱。而系统刷回到iOS 4.3之后,连接同一个Wifi信号,信号强度显示很好,可以正常使用Wifi功能。

  7、iOS 4.1解锁 绕过锁屏密码获取信息

  iOS 4.1出现过一个严重漏洞,那就是iPhone在处理紧急呼叫时再次出现可绕过锁屏PIN的问题,让iPhone用户惊愕不已。用户只需在密码锁屏界面下,直接点击右下角的紧急通话选项。在拨号盘上随意拨出一些字符,在拨出后立刻按电源键,就可进入iPhone的电话功能,查看联系人信息、通话记录甚至拨出电话,但是没法从联系人详细信息中发出短信。此后手机就只能停留在电话功能内,除非关闭再打开或长按HOME键和电源键重启iPhone。

  资讯+

  无论你的手机是用四位数密码锁住了还是用Touch ID锁住了都可以。真可怕,万一里面有不可告人的内容呢?

  过去的每一年 iOS 更新换代,我们都会见到类似的报告:用户可以在不输入锁屏密码的前提下访问手机内置软件。这也就意味着,如果是陌生人拿到了你的手机,里面的照片、联系人等信息都会毫无秘密可言。今年的 iOS 9,也逃不过这个“诅咒”。威锋网消息,目前已经有用户发现,升级 iOS 9 之后只要通过一些小手段,就可以绕过密码访问设备上的相册以及联系人,其具体步骤按顺序如下:

  -随意输入错误的四位数密码,连续输入四次(记住,如果连续输错五次,设备都会被暂时锁定)

  -第五次输入密码时,先随意输入三个错误数字,在输入第四位数密码的同时长按 Home 键召唤 Siri

  -由于连续输错五次密码,此时设备被暂时锁定,不过 Siri 已先被激活

  -询问 Siri 现在时刻

  -在 Siri 的回答界面上点击时钟图标,进入“时钟”程序

  -点击“时钟”程序右上角的“+”图标

  -在选取城市的搜索栏里随便输入一个地名

  -点击搜索栏空白处,召唤出复制/粘贴菜单,然后点击“全选”→“分享”

  -在“分享”界面中点击信息图标,进入“信息”程序

  -在“收件人”一栏里随便输入几个英文字母(注意中文不行),然后点击“换行”

  -点击两次上在一步里输入的那几个英文字母,进入“简介”界面

  -点击“创建新联系人”然后点击“添加照片”,即可浏览相册

  -点击“添加到现有联系人”即可浏览联系人信息。

  这些步骤看起来不是很难吧?所以已经安装 iOS 9 的锋友们要注意了,哪怕是设备已经被锁定了,别人依然可以浏览你设备上的“相册”以及“联系人”程序当中的所有内容。当然了,也就只是浏览而已,其它人不能再进行其它的操作,不过这样已经很恐怖了。如果你对文字步骤还是不太理解,可以看看由国外网友制作的视频(对照上面的中文步骤):

  如果你已经安装了 iOS 9,同时又担心这个新漏洞会让自己的相册或联系人内容外泄,可以通过关闭 Siri 来保护自己:设置→Touch ID 与密码,然后在“锁定时允许访问”一栏里关闭 Siri即可。苹果目前还没有对此漏洞表态,不过预计他们将很快发布系统更新来进行封堵。(威锋网)

  链接+

  近日,苹果(Apple)推出了其最新的iOS9系统平台,让iPhone、iPad用户能随时通过WiFi或iTune进行更新,新一代的iOS除了加入多项新功能及优化机能外,还会将此前曝出的AirDrop安全漏洞进行了封堵,来保障用户的无线传输更为安全。

  AirDrop传输曝出安全漏洞

  此前,iOS8内建的AirDrop功能存在一个严重的安全漏洞,能让黑容远端监控及植入恶意程式破坏用户系统及窃取个人资料。据澳洲安全研究人员公布的一段视频短片显示,在一部屏幕已锁并已启动AirDrop功能的iPhone上,可以将恶意程式毫无痕迹地植入iPhone的电话程序上,并进行远程操控及资料盗取。

  AirDrop快速分享功能

  AirDrop功能当时与第五代iPhone同时推出,让Apple平台的用户能简易地通过蓝牙进行快速文件传输功能。该功能支持MAC笔记本、iPhone及iPad进行点对点的数据传输,但目前已经有黑客通过此功能来展开系统入侵。

  安全研究人员表示,iOS8存在两个漏洞,第一个漏洞能让黑客绕过“同意/拒絶”接收文件的步骤,令受攻击者直接接收文件。

  第二个漏洞能让黑客植入的文件覆盖于任何文件上,令受攻击者打开该文件时,就会受到远程监控,危害相当严重。

  因此,建议用户尽快进行iOS系统更新,如果未能更新的用户也请尽快关闭AirDrop功能,来避免受到不法黑客的入侵。

分享到:
责任编辑:

网友评论