今天,谷歌 Project Zero 安全研究員伊恩 - 比爾(Ian Beer)透露,在 5 月份之前,蘋果 iPhone 和其他 iOS 設(shè)備都存在一個(gè)不可思議的漏洞,可以讓攻擊者遠(yuǎn)程重啟并從遠(yuǎn)處完全控制設(shè)備,包括閱讀郵件和其他信息、下載照片,甚至有可能通過 iPhone 的麥克風(fēng)和攝像頭監(jiān)視和監(jiān)聽用戶。
這樣的事情怎么可能呢?根據(jù) Beer 的說法,這是因?yàn)槿缃竦?iPhone、iPad、Mac 和 Watch 使用了一種名為 Apple Wireless Direct Link(AWDL)的協(xié)議,為 AirDrop(這樣你就可以輕松地將照片和文件傳送到其他 iOS 設(shè)備上)和 Sidecar(快速將 iPad 變成輔助屏幕)等功能創(chuàng)建網(wǎng)狀網(wǎng)絡(luò)。Beer 不僅想出了一個(gè)利用的方法,他還找到了一個(gè)方法來強(qiáng)制 AWDL 開啟,即使之前沒有開啟。
雖然 Beer 說他 “沒有證據(jù)表明這些問題被黑客利用過”,并承認(rèn)他花了整整六個(gè)月的時(shí)間來找到、驗(yàn)證和演示這個(gè)漏洞但他建議我們不要輕視這種黑客的存在。 需要指出的是,蘋果 5 月已經(jīng)打了補(bǔ)丁修復(fù)了這個(gè)漏洞。
蘋果公司沒有立即回應(yīng)評(píng)論請(qǐng)求 , 但I(xiàn)T之家了解到,該公司在其 5 月 2020 安全更新的幾個(gè)變化日志中,確實(shí)在描述相關(guān)漏洞時(shí)提到了 Beer。
責(zé)任編輯:PSY
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。
舉報(bào)投訴
相關(guān)推薦
遠(yuǎn)程設(shè)備控制系統(tǒng)是一種技術(shù)或系統(tǒng),它允許用戶通過網(wǎng)絡(luò)(例如互聯(lián)網(wǎng)或局域網(wǎng))來監(jiān)視和控制遠(yuǎn)處的設(shè)備
發(fā)表于 05-28 15:01
?627次閱讀
其中,高風(fēng)險(xiǎn)漏洞為CVE-2024-4835,主要存放在VS代碼編輯器(Web IDE)中的,攻擊者可通過此漏洞進(jìn)行跨站點(diǎn)腳本(XSS)攻擊,從而獲取對(duì)用戶賬戶的
發(fā)表于 05-24 17:00
?835次閱讀
近日,蘋果與OpenAI重啟了合作談判,意在將這家人工智能初創(chuàng)公司的技術(shù)整合至今年晚些時(shí)候即將發(fā)布的iPhone新機(jī)型中。據(jù)悉,雙方已經(jīng)開始商討具體協(xié)議的條款,并探討OpenAI技術(shù)如何在蘋果
發(fā)表于 05-06 11:24
?450次閱讀
隨著macOS桌面用戶群體的壯大,攻擊者正調(diào)整攻勢(shì),致力于創(chuàng)新更多的跨平臺(tái)攻擊方式。數(shù)據(jù)表明,攻擊者通常會(huì)借助社交工程的手段,將開發(fā)人員和工程師等企業(yè)用戶設(shè)為攻擊目標(biāo)。
發(fā)表于 04-12 11:25
?288次閱讀
雖然蘋果并未披露攻擊者以及受害用戶所在的具體國(guó)家或地區(qū)信息,但警告信明確指出:“蘋果已探測(cè)到您正成為間諜軟件攻擊的受害者,此種
發(fā)表于 04-11 16:25
?557次閱讀
此漏洞源于操作系統(tǒng)命令及參數(shù)注入缺陷,攻擊者能非法執(zhí)行可能有害的指令。CVSS評(píng)分達(dá)10/10,意味著無須認(rèn)證即可借助該漏洞發(fā)起低難度遠(yuǎn)端攻擊。
發(fā)表于 04-10 14:24
?626次閱讀
該問題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”,其對(duì)HTTPGET請(qǐng)求的處理過程存在漏洞。該漏洞以CVE-2024-3273作為識(shí)別號(hào),其方式包括
發(fā)表于 04-08 10:28
?722次閱讀
蘋果強(qiáng)調(diào),該漏洞可影響macOS Ventura及macOS Sonoma系統(tǒng),攻擊者可借此生成惡意文件。用戶一旦點(diǎn)擊瀏覽,可能引發(fā)應(yīng)用程序異常關(guān)閉甚至造成任意代碼執(zhí)行風(fēng)險(xiǎn)。
發(fā)表于 03-14 11:43
?566次閱讀
這起事故被編號(hào)為CVE-2024-21412,出現(xiàn)在Windows Defender SmartScreen之中的一項(xiàng)漏洞,攻擊者透過生成特定文件,輕易繞開微軟系統(tǒng)的嚴(yán)密安全審查。
發(fā)表于 03-14 09:48
?375次閱讀
據(jù)悉,微軟Windows資源管理器默認(rèn)情況下會(huì)預(yù)先載入.theme主題的縮略文件,使得攻擊者有機(jī)可乘。攻擊者只需通過相關(guān)主題縮略文件參數(shù)讓資源管理器連接惡意命令行UNC路徑,即可實(shí)現(xiàn)代碼的遠(yuǎn)程
發(fā)表于 03-10 11:22
?1123次閱讀
蘋果公司近日確認(rèn),部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagi
發(fā)表于 01-18 14:26
?585次閱讀
DDOS攻擊指分布式拒絕服務(wù)攻擊,即處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊,或者一個(gè)攻擊者
發(fā)表于 01-12 16:17
?534次閱讀
2022年12月期間,是蘋果迄今為止所面臨的最復(fù)雜的硬件等級(jí)漏洞。 駭客僅需通過傳送一條看似普通的iMessage信息,即可入侵iPhone并竊取用戶的所有隱私信息。這個(gè)漏洞為駭客提供
發(fā)表于 12-29 17:07
?466次閱讀
遠(yuǎn)程控制軟件是一種能夠讓用戶從遠(yuǎn)處獲得本地控制權(quán)的軟件。它可以讓用戶只需要使用一臺(tái)主機(jī)就可以控制
發(fā)表于 12-13 10:45
?2003次閱讀
攻擊者執(zhí)行了net use z: \10.1.1.2c$ 指令將 10.1.1.2域控制器的C盤映射到本地的Z盤,并且使用了rar壓縮工具將文件存儲(chǔ)在 crownjewlez.rar里,所以密碼就在這里了
發(fā)表于 11-29 15:50
?390次閱讀
評(píng)論