广告

苹果设备曝最新漏洞,黑客可控制摄像头/麦克风

时间:2020-04-09 作者:网络整理 阅读:
我们发现有人总喜欢在自己的笔记本电脑摄像头上贴一个贴纸,这或许是源自他们对黑客破解摄像头权限的恐惧,不过最近发生的一件事让小编觉得,贴上还挺有必要的——苹果iPhone、iPad和Mac等设备曝出漏洞,攻击者可通过浏览器伪装来控制摄像头和麦克风……
广告
ASPENCORE

我们发现有人总喜欢在自己的笔记本电脑摄像头上贴一个贴纸,这或许是源自他们对黑客破解摄像头权限的恐惧,不过最近发生的一件事让小编觉得,贴上还挺有必要的。nYOEETC-电子工程专辑

nYOEETC-电子工程专辑

据外媒《连线》报道 ,Safari 出现的漏洞导致黑客利用网络链接,入侵 iPhone 和 Mac 的摄像头,窃取用户的声音和影像。苹果得知后已迅速修补。nYOEETC-电子工程专辑

无需交互就会中招

苹果Safari网络浏览器中的总共七个零日漏洞,是白帽子(安全研究员)瑞安-皮克伦(Ryan Pickren)发现的,他是亚马逊前网络服务安全工程师。漏洞允许攻击者通过iPhone,iPad或Mac计算机的摄像头和麦克风来监视用户,攻击仅要求目标用户访问恶意网站-无需其他任何交互。nYOEETC-电子工程专辑

“通过将几个漏洞组合在一起,攻击者能够创建一个网络链接,诱使 Safari 将控制权移交给计算机的网络摄像头和麦克风。” Ryan Pickren介绍到,“简单地说-该错误使Apple误以为恶意网站实际上是值得信赖的网站,例如Zoom或Skype。它是通过利用Safari如何解析URI,管理Web起源以及初始化安全上下文中的一系列缺陷来做到这一点的。”nYOEETC-电子工程专辑

他补充说:“如果恶意网站将这些问题串在一起,则可以使用JavaScript直接访问受害者的网络摄像头,而无需征求许可。任何具有创建弹出窗口功能的JavaScript代码(例如独立网站,嵌入式广告横幅或浏览器扩展程序)都可以发起此攻击。”nYOEETC-电子工程专辑

《连线》杂志声称,如果攻击者仔细阅读这些漏洞,就能“悄悄”启动受害者的网络摄像头和麦克风,并使用它们录制视频和音频以及拍照。更糟糕的是,这些漏洞不仅危害Windows用户,在苹果的 iPhone、iPad 和 Mac 上也起作用。nYOEETC-电子工程专辑

Pickren认为,这些缺陷与苹果决定允许用户永久性地基于每个网站保存安全设置有关。nYOEETC-电子工程专辑

苹果悬赏7万5美元

Ryan Pickren 说,这些 bug 中的有些内容已经很老了,可以追溯到“几年前”,但它们当时可能没有现在这么危险。主要是因为最近很多人在新冠肺炎全球流行期间,靠摄像头进行远距会议和上课,这演变成更严重的问题。nYOEETC-电子工程专辑

Pickren还发布了一篇冗长的博客文章,其中包含有关漏洞的技术信息。他还提供了概念验证(PoC)漏洞利用代码和演示。nYOEETC-电子工程专辑

幸运的是,Pickren 已经向苹果披露了这些漏洞,属于苹果漏洞悬赏计划中的“没有用户交互的网络攻击:对敏感数据的零点击未经授权访问”类别,因此他赢得了$ 75,000,这个类别的最高奖励达$ 500,000。nYOEETC-电子工程专辑

nYOEETC-电子工程专辑

苹果在1月28日发布的Safari 13.0.5更新程序中修复了三个安全漏洞——允许相机劫持的漏洞。剩余的四个漏洞直到3月24日发布Safari 13.1版本才得到修复。这意味着现在你的苹果设备安全了,当然,前提是你已经更新了最新版本的软件。nYOEETC-电子工程专辑

永远不要相信你的摄像头

这不是Apple首次修补可被利用来监视用户的漏洞。去年,该公司修复了FaceTime中的一个漏洞,该漏洞可能使黑客能够访问设备的摄像头和麦克风。​​​​nYOEETC-电子工程专辑

安全研究员肖恩-赖特(Sean Wright)称,虽然每个人都在关注个人电脑和笔记本电脑上的网络摄像头,但“很少有人像关注手机上的麦克风一样关注手机的网络摄像头。当你停下来想一想,这是很奇怪的,因为这是攻击者更有可能窃听受害者的一种方式。人们更有可能大部分时间都带着手机,尤其是在讨论敏感问题的时候。”nYOEETC-电子工程专辑

Ryan Pickren:“这样的漏洞说明了为什么用户永远不应该完全相信他们的相机是安全的,无论是什么操作系统或制造商。”nYOEETC-电子工程专辑

他还指出,有些补救方法涉及 WebKit“确实非常古老”的错误,但有些黑客现在仍有可能利用这些错误和漏洞。nYOEETC-电子工程专辑

责编:Luffy LiunYOEETC-电子工程专辑

本文综合自Wired、Unwire HK、IEEE电气电子工程师、腾讯科技报道nYOEETC-电子工程专辑

ASPENCORE
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 如何利用PUF技术保护物联网设备? 越来越多的IC厂商开始探索一种芯片级的安全技术来保护数据,这种技术被称为物理不可克隆功能(Physically Unclonable Function,简称PUF)。从料单(BOM)成本的角度看,PUF技术在防篡改SRAM的安全性方面具有很大优势。虽然单靠PUF技术本身不足以保证密钥安全,但它无疑可将嵌入式设备的安全风险降到最低。
  • 全球CEO峰会圆桌论坛:有灵魂的智能连接是什么样的? 2019全球CEO峰会圆桌论坛主题:无处不在的连接。《电子工程专辑》现将精彩的圆桌论坛讨论归纳总结,希望为读者展现出有灵魂的智能连接的愿景。
  • 华为为何聘请美国前政府高官担任首席律师和首席安全官 美国政府试图取消华为首席辩护律师詹姆斯·科尔(James Cole)的律师资格。华为首席安全官安迪·珀迪(Andy Purdy)声称禁止华为购买美国技术并不能让美国更安全。
  • 物联网时代,信息安全需放首位 世界各国均开始大力推动5G、量子通信、人工智能、车联网、物联网、工业互联网等新技术新业态的发展,取得了一定进展。我国也陆续发布了促进人工智能、车联网等发展的行动计划,为新技术新业态发展创造良好政策环境。但是,新兴技术往往会带来未知的新风险...
  • 空中软件更新为联网汽车提供数据保护确保安全性 最近许多起针对互联汽车的黑客攻击已经引起了巨大轰动,这对系统的安全性提出了挑战。互联汽车的安全性至关重要,这一点目前对于 OEM 来说已经是显而易见的了。当汽车成为一种车主用来通信的个人移动设备、并且还可能通过应用来实现个性化时,这种设定就会在很大程度上受到潜在攻击者的操纵。那么汽车业如何来保护自身以及客户来免受黑客攻击呢?
  • 硬件安全在实现工业4.0愿望中的作用 涉及工厂数字化的工业4.0对工业市场领域的组织领导者来说有着不同的意义,随着工厂设备变得智能化和互联,数字化影响可能对网络安全产生广泛的影响。工厂的数字化正在改变价值链的各个方面,并直接影响企业的顶线和底线。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了