富二代短视频f2d9app,亚洲永久精品ww47cos,无码不卡av五月天

蘋果系統(tǒng)嚴(yán)重漏洞，原因在于“應(yīng)用間數(shù)據(jù)交換”？

網(wǎng)友投稿2022-07-29 08:15:02

　　最近，關(guān)于蘋果系統(tǒng)出現(xiàn)嚴(yán)重漏洞的問題受到關(guān)注。具事件體新聞：堪比iCloud 艷照門，蘋果系統(tǒng)再曝嚴(yán)重漏洞。某網(wǎng)邀請了相關(guān)安全領(lǐng)域的專家進(jìn)行了分析。這里就來說說他們分析的情況。　　針對此次蘋果系統(tǒng)出現(xiàn)嚴(yán)重漏洞，黑客繞過沙箱，竊取數(shù)千種應(yīng)用程序的數(shù)據(jù)。原因并非那么簡單。　　　我們?yōu)槭裁葱枰鐟?yīng)用資源訪問? 　　大家知道，蘋果的操作系統(tǒng)啟用了沙盒機(jī)制。　　所謂的沙箱/沙盒/Sandbox其實(shí)是一種安全機(jī)制，指得是應(yīng)用程序運(yùn)行在一個獨(dú)立且封閉的環(huán)境，不能夠訪問其他應(yīng)用程序或者系統(tǒng)的數(shù)據(jù)（內(nèi)存、磁盤、硬件等）。沙箱可以有效地保護(hù)應(yīng)用程序不被其他惡意程序竊取或者篡改敏感數(shù)據(jù)，從而保障用戶的安全。　　現(xiàn)代操作系統(tǒng)，特別是手機(jī)操作系統(tǒng)，無論是蘋果還是谷歌還是微軟，都提供了類似的安全機(jī)制。　　　　而本次出問題的并非是沙盒的安全機(jī)制，而是在沙盒安全機(jī)制之外。是為了數(shù)據(jù)共享而開出的一個口子。舉例來說：兩個房間之間用混凝土墻隔斷，小偷則通過走廊成功的去了另外一個房間，實(shí)際上出問題的是走廊里缺少門禁系統(tǒng)和攝像頭，而并非混凝土墻被攻破了。在本次事件中，混凝土墻就是蘋果的沙箱并沒有出問題，而應(yīng)用間數(shù)據(jù)共享則是連接兩個房間的走廊。　　　但是我們常常需要從某個應(yīng)用去訪問其他應(yīng)用，或者在應(yīng)用間進(jìn)行數(shù)據(jù)交換，例如從新浪微博客戶端分享某個微博到微信朋友圈，或者從微信聊天跳轉(zhuǎn)到瀏覽器訪問某個網(wǎng)頁。像這樣：　　　　蘋果設(shè)計了跨應(yīng)用資源訪問來完成這個功能，應(yīng)用和應(yīng)用間可以通過類似URL共享、進(jìn)程間通訊等等方式來進(jìn)行數(shù)據(jù)共享和相互調(diào)用。比如當(dāng)我們從新浪微博分享文章到微信的時候，新浪微博會把相關(guān)文章通過某種數(shù)據(jù)共享機(jī)制傳送給微信客戶端：　　跨應(yīng)用資源訪問出了什么問題？ 　　很顯然蘋果在跨應(yīng)用資源訪問上并沒有做好相互的授權(quán)檢查和訪問控制，新安裝的應(yīng)用可以覆蓋/篡改跨應(yīng)用資源訪問交換列表，偽裝成其他應(yīng)用，讀取原應(yīng)用的敏感數(shù)據(jù)，或者欺騙用戶輸入密碼。　　這個問題的影響面到底有多大？ 　　目前來看，這個問題還不會造成大面積的安全問題，因?yàn)樗睦眠€受到多個條件的約束。這些條件包括以下這些：　　1、第一道防線：攻擊者要能把某個偽造的APP上傳到蘋果的應(yīng)用商店。我們知道蘋果對應(yīng)用有比較嚴(yán)格的審核，這樣的偽造應(yīng)用有很大概率被蘋果攔截下來。當(dāng)然攻擊者也可以使用企業(yè)證書去給應(yīng)用簽名，但這樣成本過高，而且一旦被發(fā)現(xiàn)會被吊銷企業(yè)證書并列入黑名單。　　2、用戶需要主動下載該應(yīng)用。（惡意應(yīng)用因?yàn)闆]有什么訪問量，很難被用戶看到，一旦訪問量高了，很容易被蘋果發(fā)現(xiàn)并封殺）　　3、當(dāng)攻擊者劫持某個應(yīng)用時，會跳轉(zhuǎn)到偽造的APP，此時惡意的APP可以訪問原APP授權(quán)的數(shù)據(jù)，比如：本地文件等等，但只有用戶在該偽造APP的界面輸入密碼才會導(dǎo)致密碼失竊。　　4、本漏洞對Mac OS（蘋果電腦）的影響要遠(yuǎn)比iOS（蘋果手機(jī)）更大，目前看來，蘋果手機(jī)的問題主要是應(yīng)用間的url（地址）劫持和釣魚欺詐，其他危害比較大的后果，包括：密鑰鏈的竊取、網(wǎng)絡(luò)連接的劫持等都只對Mac OS有效，暫時還沒有影響到蘋果手機(jī)。　　普通蘋果用戶應(yīng)該注意什么？ 　　1、盡可能不要去下載偏門的應(yīng)用（個人或小公司開發(fā)、下載數(shù)很低的應(yīng)用），因?yàn)檫@種情況下，更有可能是某個偽裝的APP應(yīng)用；　　2、盡可能不要使用跨應(yīng)用數(shù)據(jù)交換（例如從微信跳轉(zhuǎn)到瀏覽器，可以選擇復(fù)制鏈接，然后自己打開瀏覽器粘貼到地址欄）。　　3、盡可能不要在APP中保留太私密的數(shù)據(jù)，盡可能使用具有類似閱后即焚功能的APP 　　4、在使用跨應(yīng)用交換時，盡可能不要在跳轉(zhuǎn)的應(yīng)用中輸入你的任何密碼　　安卓和Winodws Phone也有類似的問題嗎？ 　　目前尚未發(fā)現(xiàn)Windows Phone有類似情況，對安卓來說，用戶在進(jìn)行跨應(yīng)用數(shù)據(jù)共享的時候是能看到所有可選的應(yīng)用列表的，并不排除攻擊者可以通過欺騙等方式引誘用戶選擇錯誤的應(yīng)用進(jìn)行數(shù)據(jù)共享。所以安卓用戶也需要小心。　　額外的思考 　　蘋果的iOS和Mac OS一向以封閉安全而著稱，但近些年來，隨著相關(guān)研究的增多，一些安全漏洞陸續(xù)被曝光，從iCloud數(shù)據(jù)失竊、到360投資的麥芽地制造病毒，再到本次的跨應(yīng)用數(shù)據(jù)交換攻擊，這些事件的發(fā)生說明iOS/Mac OS已經(jīng)不再對信息安全問題免疫，蘋果用戶需要改變過去麻痹大意的心態(tài)，提高警覺，蘋果公司也應(yīng)該更加重視信息安全問題，引入第三方專業(yè)的信息安全團(tuán)隊協(xié)助蘋果提高系統(tǒng)的安全性。　