iOS 12 安全更新 | 一个月内安装率超 50%,越狱和漏洞一个也没少

九月份,苹果发布了新品手机 iPhone XS,同时也发布了 iOS 12 更新。此后,新版 iOS 系统的安装率逐渐走高。根据市场调研机构 Mixpanel 的最新统计,截止 10 月 6 日 iOS 12 的安装率已经达到了 50%。新版系统在运行速度、便捷性、互动等性能层面都有所更新,也让人们对其隐私安全性能有了更高期待。

iOS 12 新安全功能

1. 双因素认证升级:添加 Security code AutoFill 新功能,当验证代码发送到手机上后,可以自动填充到应用程序中,无需切换程序或复制数字,在保证安全的同时更加便捷;

  1. 减少广告追踪:iOS 12 版本下的 Safari 在默认情况下会屏蔽评论框和社交媒体共享图标,避免在用户未交互的情况下被识别身份。此前,Facebook 以外页面上的 Facebook 分享按钮可以识别用户身份,就算用户没有共享任何内容,也可以将页面链接到 Facebook 帐户;而在 iOS 12 中,当 Safari 检测到这种跟踪时,会展示允许或阻止的选项,供用户选择。此外,iOS 12 中还设置了 Safari 中“指纹识别”屏蔽,阻止广告跟踪器发现并识别设备;
  2. 更强的密码保护:当用户在 Safari 中保存的两个或多个登录地址使用相同的密码时,会出现提醒;同时,依旧可以通过 iCloud 将账户和密码在多台苹果设备上同步;密码管理更方便;在设置密码时会提醒用户设置更高强度的密码;

设置方法:在设置中选择修改密码,选择“自定义数字密码”选项即可。

4. 聊天加密:不论是iMessage 发送的文本聊天还是应用程序记录的位置数据亦或是 FaceTime 的视频电话,只要没有授权密码或指纹或面部解锁,都无法被他人读取; 5. 锁屏超过一小时后,屏蔽 USB 接入;避免物理接触导致的恶意数据读取; 设置方法:在设置中找到 Touch ID(Face ID)或密码选项,将 USB 访问的按钮关闭。

此外,自动安全更新等设置也为用户带来了便捷和安全。

但是,iOS 12 刚发布不久,国内就很快有安全团队实现了越狱。此外,还有研究人员爆出了密码绕过漏洞,又将 iOS 12 的。

iOS 12 越狱

9 月 27 日,沉寂多日的盘古团队在 iPhone XS 开卖不到一周的时间内宣布在 A12 处理器上找到安全漏洞并成功越狱。事实上,iPhone XS 和 iPhone XS Max 在硬件层面已经加强了安全性能,同时采用 Pointer AuthenticationCodes(PAC)等多种高级防御机制,大大提高了iOS攻击难度。盘古团队表示,所利用的并不是普通的 iOS 12 漏洞,而是针对 A12硬件和arm64e(arm8.3)所保护的 iOS 12 机制进行破解,比破解一台 iPhone X 的 iOS 12 系统更难。

但是,盘古放出越狱成功的消息后,并没有再做更多解读,也没有表态是否会公开发布工具。他们的举动除了践行自己一贯的研究,似乎也有提醒的意味。无独有偶,国内另一个安全团队——阿里安全潘多拉实验室,也实现了 iOS 12 越狱。团队负责人称,实现越狱的目的只是为了提醒厂商注意加强和提升系统安全的防护能力。所以不会公开工具。

也许在苹果不断更新迭代的当下,越狱对于消费者的吸引力已经日渐降低,反倒成为研究人员不断突破、攻坚的途径,成为给厂商的安全提醒。

密码绕过漏洞

在国外视频网站 Youtube 上,一位名为 Jose Rodriguez 的研究员发布视频,演示了自己发现的 iOS 12 漏洞。 Jose Rodriguez 自称是一名苹果爱好者,曾经发现过 iPhone 中的许多问题和缺陷,并在其 YouTube 频道“Videosdebarraquito”上发布分享视频。

他发现可以利用 Siri 和苹果专为视障人群配备的辅助功能 Voiceover,或者利用 QuickLook 功能 绕过锁屏密码,查看联系人、照片乃至电子邮件和电话号码。

要成功绕过未锁定的 iPhone,攻击者需要物理访问存在漏洞的设备。一旦获取访问权限,就能绕过 iPhone上的密码验证屏幕。这个过程中,需要骗过 Siri,并修改 iOS 中的 VoiceOver 功能,绕过验证过程。也就是说,如果设备启用了 Siri 并且禁用了 Face ID 或者使用胶带等物品覆盖 Face ID,那么攻击就能生效。

在视频中,Rodriguez 演示的绕过步骤高达 37 步。到目前为止,他已经发布了两个用西班牙语录制的视频,以展示在运行 iOS 12 的解锁 iPhone 上绕过密码的过程。其中,第二个视频展示的是利用 QuickLook 功能绕过锁屏密码。

使用视频中分享的技术,攻击者可以编辑与任何呼叫者相关联的联系信息,包括相关图像。 据报道,这个漏洞也适用于刚刚发售的 iPhone XS 和 iPhone XS Max。

漏洞曝出后,引起了苹果用户的大量讨论,而直到 10 月份,苹果才对此表态并发布补丁。

10 月 8 日,苹果发布了针对 iOS 12 和 iCloud 的新一轮安全更新。其中 iOS 中主要修复的就是密码绕过问题(即 CVE-2018-4380 和 CVE-2018-4379)。此外,更新中还包含针对新 iPhone XS 用户所遇到的充电和 WiFi bug 的修复程序。

其实,近几年 iPhone 的密码绕过问题已经屡见不鲜。iOS 9 和 iOS 10 都出现过密码绕过问题,利用的也是类似的 Siri 和 VoiceOver 漏洞。在 iOS 9.0、9.1、9.2.1、9.3.1 上,都出现过利用 Siri 访问本地 iOS 应用程序,进而获取设备中照片、联系人等访问权限。由此看来,原本为了方便而设置的 Siri 等类似功能,在安全性的设置上还有待提升。

一直以来,安全总在为便利让步,如何在二者之间达到平衡,成为了厂商口碑的又一个衡量标准。iOS 12 的确在安全功能上有所加强,但在安全与可用性(用户体验)方面的平衡方面,也在探索更合适的标准。从 9 月 28 日漏洞曝出到 10 月 8 日苹果发布安全更新,中间的周期不算长但也不算短。漏洞的利用比较复杂,短期内不会造成较大影响,这也许是苹果没有立即应急响应的原因。不过这也应证了一点,没有绝对的安全,我们能做的只是努力更接近一点。

*参考来源:THN,Bleepingcomputer 等,作者 AngelaY,转载请注明来自 FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-10-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ytkah

微信公开课发布微信官方教程:教你用好微信JS-SDK接口

微信公众平台开放JS-SDK(微信内网页开发工具包),说明文档已经有相关使用方法和示例了,很多同学觉得不是很直观,为此微信公开课发布微信官方教程:教你用好微信...

57440
来自专栏xingoo, 一个梦想做发明家的程序员

Oracle二三事之 Oracle SPARC SuperCluster的九大技术优势

• 运行最快的服务器:   SPARC T4计算资源池创造了18项性能世界纪录,全面超越同类产品,单柜128核心、1024线程。 • 数据库服务:   Ora...

20470
来自专栏钱曙光的专栏

一周极客热文:Google近实时数据仓库系统Mesa曝光

Mesa的controller/worker框架架构如上图 9月在杭州举行的数据库学术会议VLDB 2014上,Google公开了自己大数据核武库的新成员:近实...

322100
来自专栏SDNLAB

ONOS发布1.2版本Cardinal——专注可扩展性

开源软件定义网络(SDN)项目ONOS公布1.2版本——Cardinal,并声称其软件平台在多协议支持、性能增强、APIs方面支持范围更广。 ? 添加的新功能主...

30350
来自专栏无原型不设计

如何规范移动应用交互设计?UI/UX设计师须知的11个小技巧

以下内容由Mockplus团队翻译整理,仅供学习交流,Mockplus是更快更简单的原型设计工具。

42990
来自专栏IMWeb前端团队

积木系统,将运营系统做到极致

本文作者:IMWeb 江源 原文出处:IMWeb社区 未经同意,禁止转载 积木系统上线半年,取得了些成绩,也暴露出不少问题,加上 2.0 版本也准备开...

3.5K50
来自专栏非著名程序员

听说 Flutter 最近要多火爆就有多火爆,那就推荐一个不错的系列文章吧

就在上上周Flutter 发布首个预览版,Flutter 是谷歌的移动 UI 框架,可以快速在 iOS 和 Android 上构建高质量的原生用户界面。 Flu...

17540
来自专栏编程微刊

前端,Java,产品经理,微信小程序,Python等资源合集大放送

33640
来自专栏知晓程序

实测!小程序「多媒体能力」大更新,居然还能做直播了?

在昨天晚上,微信小程序又全面升级了包括录音、拍照摄像、视频播放等多向多媒体能力,同时还进一步完善访客来源数据,让你能清晰看到这些用户是从哪些渠道来的。

18320
来自专栏web前端教室

web前端不止是JS和CSS,还有诗和远方。谈WEB前端工程化

标题起的有点骚包哈,其实是说,WEB前端的主战场是“前端工程化”。 前端就前端呗,为啥还要加个“工程化”? 很简单,因为前端变复杂了。复杂到必须把一个个网页切成...

27470

扫码关注云+社区

领取腾讯云代金券