苹果iOS惊曝8个底层漏洞：安全神话进一步破碎|苹果|iOS|安全漏洞_手机_新浪科技_新浪网
苹果iOS惊曝8个底层漏洞：安全神话进一步破碎
　　据ZDNet报道，以色列移动安全公司Zimperium近日公布了8个苹果iOS安全漏洞。
　　Zimperium表示，利用这些漏洞攻击者可以完全控制iOS设备，从而获得该设备的GPS数据、照片和联系方式等用户信息或进行DoS攻击，研究员Adam Donenfeld是发现这些漏洞的主要贡献者。
　　其中一个漏洞编号CVE-是在IOSurface内核扩展中找到的。这一“竞争条件”漏洞可允许攻击者绕过IOSurface对象创建的安全性检查。如果遭到利用，这一安全漏洞将允许本地特权提升或拒绝服务。
　　剩下的7个漏洞则是在AppleAVEDriver.kext驱动中找到的。其中漏洞编号CVE-和CVE-可用于删除内核中任意IOSurface对象的引用计数或发送被内核当做指向有效IOSurface对象的任意内核指针。
　　两个漏洞中，任意一个都可以被攻击者利用来进行特权升级。
　　另外5个漏洞编号CVE-、CVE-、CVE-、CVE- 以及 CVE- 也均在AppleAVEDriver.kext驱动中找到。所有这些安全漏洞都会导致特权提升、拒绝服务或信息泄露。
　　专注苹果新闻报道，每日推送最新苹果资讯。扫描下方二维码关注苹果汇官方微信(或微信中搜：appleinc2012)。
文章关键词：
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。iOS开发工具Xcode遭恶意代码入侵 苹果安全神话被打破-Xcode iOS 开发工具 APP 恶意代码-中国新闻-东方网
&&&新闻热线：021-
iOS开发工具Xcode遭恶意代码入侵 苹果安全神话被打破
原标题: iOS开发工具Xcode遭恶意代码入侵苹果安全神话被打破&&& 近日，第三方渠道下载的iOS开发工具Xcode被曝遭恶意代码入侵植入后门。360NirvanTeam（涅磐团队）经过紧急排查发现，包括微信、12306、滴滴打车、高德地图、同花顺等在内的众多主流APP均被感染，用户个人隐私信息被上传到病毒作者指定的服务器。360紧急提醒广大用户，可以临时删除受影响的APP，并及时修改APP相关帐号密码、iCloud密码等。图：第三方渠道下载的iOS开发工具Xcode被植入后门，收集用户信息&&& 据了解，Xcode是苹果公司开发的编程软件，是开发人员建立OS X 和 iOS 应用程序的最快捷的方式。360NirvanTeam（涅磐团队）对病毒样本做了详细分析后发现，目前从百度网盘等第三方平台，或者从官网通过迅雷离线下载等渠道下载的Xcode均被植入后门，因此使用受感染的Xcode编译或生成的应用中都会被植入后门。360NirvanTeam（涅磐团队）紧急排查发现后发现，包括微信、12306、滴滴打车、高德地图、同花顺、我是MT、网易云音乐、喜马拉雅、下厨房等在内的众多主流APP均被感染，iPhone用户即使通过官方App Store下载的应用程序也已不再安全。一旦用户使用受感染的APP，手机应用和系统的基本信息，包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型等，都将上传到病毒作者的指定网址，用户数据将被收集。该病毒甚至还会模仿iCloud登陆界面，要求用户输入帐号密码。专家建议，广大用户可以临时删除受影响的APP，并及时修改APP相关帐号密码、iCloud密码，以免个人隐私信息泄露。对于开发者来说，要第一时间检查系统中所有版本的Xcode是否被感染，如果受感染，可以删除受感染的Xcode后再从官方渠道重新下载；如果发现线上应用是用受感染的Xcode发布过的，建议使用官方Xcode清理和重新编译应用后再上传至 AppStore，可以尽量向苹果说明情况，从而走 AppStore 的紧急上线流程。据悉，此次事件与以往的病毒嵌入不同，黑客直接把木马代码嵌入了开发工具源头，这种攻击方式在iOS上尚属首次，一直被认为牢不可破的苹果安全神话被打破，注定成为移动安全史上的大事件。附：360NirvanTeam（涅磐团队）紧急排查到的受影响APP名单
东方网(eastday.com)版权所有，未经授权禁止复制或建立镜像
iOS开发工具Xcode遭恶意代码入侵 苹果安全神话被打破
日 14:15 来源:中国网
原标题: iOS开发工具Xcode遭恶意代码入侵苹果安全神话被打破&&& 近日，第三方渠道下载的iOS开发工具Xcode被曝遭恶意代码入侵植入后门。360NirvanTeam（涅磐团队）经过紧急排查发现，包括微信、12306、滴滴打车、高德地图、同花顺等在内的众多主流APP均被感染，用户个人隐私信息被上传到病毒作者指定的服务器。360紧急提醒广大用户，可以临时删除受影响的APP，并及时修改APP相关帐号密码、iCloud密码等。图：第三方渠道下载的iOS开发工具Xcode被植入后门，收集用户信息&&& 据了解，Xcode是苹果公司开发的编程软件，是开发人员建立OS X 和 iOS 应用程序的最快捷的方式。360NirvanTeam（涅磐团队）对病毒样本做了详细分析后发现，目前从百度网盘等第三方平台，或者从官网通过迅雷离线下载等渠道下载的Xcode均被植入后门，因此使用受感染的Xcode编译或生成的应用中都会被植入后门。360NirvanTeam（涅磐团队）紧急排查发现后发现，包括微信、12306、滴滴打车、高德地图、同花顺、我是MT、网易云音乐、喜马拉雅、下厨房等在内的众多主流APP均被感染，iPhone用户即使通过官方App Store下载的应用程序也已不再安全。一旦用户使用受感染的APP，手机应用和系统的基本信息，包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型等，都将上传到病毒作者的指定网址，用户数据将被收集。该病毒甚至还会模仿iCloud登陆界面，要求用户输入帐号密码。专家建议，广大用户可以临时删除受影响的APP，并及时修改APP相关帐号密码、iCloud密码，以免个人隐私信息泄露。对于开发者来说，要第一时间检查系统中所有版本的Xcode是否被感染，如果受感染，可以删除受感染的Xcode后再从官方渠道重新下载；如果发现线上应用是用受感染的Xcode发布过的，建议使用官方Xcode清理和重新编译应用后再上传至 AppStore，可以尽量向苹果说明情况，从而走 AppStore 的紧急上线流程。据悉，此次事件与以往的病毒嵌入不同，黑客直接把木马代码嵌入了开发工具源头，这种攻击方式在iOS上尚属首次，一直被认为牢不可破的苹果安全神话被打破，注定成为移动安全史上的大事件。附：360NirvanTeam（涅磐团队）紧急排查到的受影响APP名单苹果iOS又曝重大安全漏洞 点击病毒链接用户
[摘要]苹果iOS系统再次曝出最严重漏洞，黑客可以远程监控用户的iPhone，而具体做法则是欺骗用户点击文本信息中的链接。@视觉中国苹果iOS系统再次曝出最严重漏洞，黑客可以远程监控用户的iPhone，而具体做法则是欺骗用户点击文本信息中的链接。据悉，目前苹果已经推出最新的系统升级版本，用户只有尽快升级自己的系统才能免于这种攻击。同时，信息安全专家也提醒，对于手机上各种陌生的短信链接，都不要因为好奇而点击打开。广州日报记者段郴群据网络安全公司Lookout和多伦多大学公布的最新研究报告显示，苹果公司iOS移动操作系统中存在此前未知的三个安全漏洞，也就是所谓的“零日漏洞”，而利用这些漏洞，黑客可接管用户的iPhone，具体做法则是欺骗用户点击文本信息中的链接。据技术人员解释，所谓零日漏洞，就是漏洞被发现之后，厂商没有机会修补，黑客立刻实施了攻击。而此次被发现的重大安全漏洞，用户只需要轻轻点击黑客发来的病毒链接，手机就会被远程越狱。有业内人士表示，利用一个链接，就可以彻底控制用户的iPhone，这种级别的iOS漏洞，非常罕见。苹果推出系统升级对于目前是否有用户被攻击，苹果公司并没有给出详细的答案。而在发现漏洞之后，苹果推出了最新的系统升级版本，并建议所有用户都应下载最新版本的iOS操作系统，从而保护自身免受可能会有的网络攻击威胁。广州日报记者在实际体验中发现，与以往的重大版本升级不同，此次为堵漏洞的升级并没有推送给用户，而只有用户点击进入苹果iPhone的“设置”——“通用”——“软件更新”中查看，才可以发现有可以使用的新版本。而此前有重大系统升级，苹果都会弹出通知，让用户选择是否进行升级。iOS安全“神话”被打破有信息安全专家表示，iOS的安全级别大致分为应用层、系统层和内核层，而层级越高，权限越大。目前市场上出现的iPhone越狱，实际上就是要获得iPhone的内核权限。而此次黑客可以利用病毒链接远程控制用户iPhone，其实就是诱导用户访问黑客放置了病毒的网站，从而利用苹果iOS系统的漏洞，让黑客获得用户iPhone的内核执行权限，实现对用户iPhone的远程“越狱”，控制用户iPhone。业内表示，苹果iOS系统由于其封闭性，被业内称为最安全的操作系统，但这个“神话”在近年被打破，苹果iOS系统不断曝出重大安全漏洞。2013年，当时最新的iOS 6.1系统漏洞多次出现，第三方无需借助任何工具，就可以轻松绕过苹果用户锁屏密码，查看设备联系人信息、语音邮箱、应用以及照片内容；2014年9月，苹果曝出“隐私门”，上百位好莱坞女星的私人裸照遭匿名黑客泄露；2015年9月，苹果应用商店中大量应用感染了病毒，受此影响的APP应用数达到数十款，波及中国用户超过1亿。良好习惯有助降低被攻击可能业内表示，世界上没有任何一种操作系统是坚不可摧的，即使软件巨头微软公司，其windows操作系统也不断曝出漏洞，微软也不得不经常进行漏洞修补，而苹果的iOS系统由于其封闭性的原因，此前较少出现漏洞，但随着苹果应用越来越多，出现漏洞的概率大大增加。据悉，有分析认为，此次被发现的漏洞可能已经存在三年，之前也许其他的用户，可能因为这些漏洞而遭到攻击，但苹果目前并未对此说法进行任何评论。因此信息安全专家提醒广大苹果手机用户，要养成良好的使用手机的习惯，对于手机上收到的陌生链接，千万不要随意打开，同时，要及时升级系统，保证系统漏洞不被黑客利用。
正文已结束，您可以按alt+4进行评论
相关阅读：
相关搜索：
看过本文的人还看了
热门搜索：
粤府新函[2001]87号 文网文[号 网络视听许可证1904073号 增值电信业务经营许可证：粤B2--
Copyright & 1998 - 2017 Tencent. All Rights Reserved当前位置 & &
& XcodeGhost彻底打破苹果安全神话：我们该怎...
今 日 视 点
XcodeGhost彻底打破苹果安全神话：我们该怎么办？
18:39:02&&出处：&&
编辑：上方文Q &&)
让小伙伴们也看看：
阅读更多：
好文共享：
文章观点支持
文章价值打分
当前文章打分0 分，共有0人打分
[09-26][09-25][09-25][09-25][09-25][09-25][09-25][09-25][09-25][09-25]
登录驱动之家
没有帐号？
用合作网站帐户直接登录请使用浏览器的分享功能分享到微信等