标签: 苹果

苹果正在更新大量 iOS 应用:很可能跟近期出现的一个漏洞有关

据外媒报道,在过去的几个小时时间里,一些MacRumors的读者报告称,他们的iOS设备的App Store出现了几十个甚至上百个正在更新的应用,其中包括用户最近更新的应用。对此,苹果并非提供任何关于会出现这种情况的原因,但一些用户怀疑可能跟最近的“此应用不再与你共享”漏洞有关。 据悉,该漏洞将阻止一些用户启动某些程序,除非他们卸载或删除之后再重新安装才行。 这有可能是过期证书或其他与应用共享的相关证书出现了问题,为了修复这个问题,苹果不得不重新发布这些更新从而使得每个受影响的应用中都能有一个有效的证书。     (稿源:cnBeta,封面源自网络。)

苹果蓝牙保护框架 MagicPairing 被爆出 10 个 0day 漏洞未修复

近日,来自德国达姆施塔特大学的研究人员检查了 MagicPairing 协议,发现它的三种实现方式 iOS、macOS 和 RTKIT——在它们之间存在十个公开的缺陷,这些缺陷至今尚未得到解决。 苹果蓝牙保护框架:MagicPairing 协议 MagicPairing 是苹果的一种专有协议,它能够提供无缝的配对功能,例如在用户的 Airpods 和他们所有的苹果设备之间是通过通过苹果的云服务 iCloud 同步键来实现的。MagicPair 协议的最终目标是派生一个蓝牙链路密钥 (LK) ,用于单个设备和 Airpods 之间。为每个连接创建一个新的 LK ,这意味着可以有效地缩短此 LK 的生存期。 当一个新的或重置的一对 Airpods 最初与苹果设备属于 iCloud 帐户,安全简单配对(SSP)被使用,所有后续连接到 iCloud 帐户的 Airpod 和设备将使用作为配对机制的 Magicpair 协议。MagicPair 包含多个键和派生函数。它依赖于综合初始化向量( SIV )模式下的高级加密标准( AES )进行认证加密。 Magic Pairing 的一般逻辑是可以集成到任何基于的物联网生态系统中,从而增加对整个安全社区的相关性。 尽管 MagicPairing 协议克服了蓝牙设备配对的两个缺点:即可扩展性差和易崩溃安全模型缺陷。(如果永久密钥 Link Layer 或 Long-Term Key 受陷则会崩溃。) 但研究人员使用名为 ToothPicker 的代码执行无线模糊测试和进程内模糊测试后发现了 8 个 MagicPairing 和 2 个 L2CAP 漏洞,它们可导致崩溃、CPU 过载且配对设备关联取消。据外媒报道,这些信息是在2019 年 10 月 30 日至 2020 年 3 月 13 日期间披露的,目前尚未确定。 “由于 MagicPair 用于配对和加密前,因此它提供了庞大的零点击无线攻击面。我们发现所有的有不同实施都有不同的问题,包括锁定攻击和可导致百分之百 CPU 负载的拒绝服务。我们在开展通用的无线测试和 iOS 进程内模糊测试时发现了这些问题。” 10 个 0day 漏洞一直未修复,苹果未予置评 那么,这些漏洞本身的威胁来自哪里呢? 首先是蓝牙堆栈本身的安全性。 苹果的每个堆栈都是针对单个设备类型的,并且支持一个特性子集。因此,它们支持的协议有重复的实现。虽然这种情况有助于逆转这些协议,但它增加了苹果公司的维护成本。从安全的角度来看,这会导致在这些堆栈中出现双向安全问题。 例如,RTKit 是一个单独的资源约束嵌入设备框架。用于苹果 AirPods 1、2和 Pro,Siri Remote 2,Apple Pencil 2 和 Smart Keyboard Folio 中,虽然这种分离用来减少功能是有意义的,但 iOS 和 MacOS 也有各自的蓝牙堆栈,由于它们是封闭的,而且只有很少的公开文档。但它在速度上是有限的,不提供覆盖。相比之下,iOS 进程中的模糊处理程序速度更快,不受连接重置的限制,但需要大量的平台专用接口调整。 也就是说,这三个蓝牙堆栈在实际实施中所面临的的攻击和 bug 也会不同。 其次是,零点击无线攻击面大。 Magicpairing 的无线攻击面相当大。首先,它是在配对和加密之前使用的。通过逻辑链路控制和适配协议( L2CAP )提供的 MagicPairing Providesa 连接,用于蓝牙内部的各种数据传输;第二, 通过对 IOS、MacOS、RTKit 的实现,进一步扩大了 MagicPair 攻击面。 最后是代码居然有拼写错误问题。 研究人员发现,苹果在 iOS 和 macOS 中的 MagicPairing 实现的日志信息和 macOS Bluetooth 守护进程 bluetoothd 函数名称中存在大量拼写错误。例如,棘轮和 upload 这两个单词在不同的时间被拼成了 diff。但研究人员认为,由于这些误读随堆栈的不同而不同,每个栈可能是由不同的开发人员实现的。虽然拼写错误和实现中的缺陷之间并不直接相关,但这让人认为代码并未仔细审查,开发工作很可能是外包完成的。 但总的来说,这些漏洞虽然存在,也并未修复,但影响不大。苹果也对此问题未予置评。     (稿源:cnBeta,封面源自网络。)

谷歌披露影响苹果全平台的 Image I/O 零点击漏洞

周二的时候,谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug 。对于该公司的平台来说,Image I/O 对其多媒体处理框架有着至关重要的意义。ZDNet 报道称,谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用,或导致用户遭遇“零点击”攻击。 据悉,Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供。因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。 问题可追溯到围绕图像格式解析器的一些老生常谈的问题,这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件,便可在目标系统上运行无需用户干预的“零点击”代码。 谷歌 Project Zero 补充道,他们分析了 Image I/O 的“模糊处理”过程,以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术,是因为苹果限制了对该工具大部分源代码的访问。 结果是,谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞,后者正是苹果向第三方公开的“高动态范围(HDR)图像文件格式”的框架。 谷歌 Project Zero 安全研究人员 Samuel Groß 写道:“经过足够的努力,以及由于自动重启服务而授予的利用尝试,我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。 鉴于这是一种基于多媒体攻击的另一种流行途径,其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面”,后者包括以安全性的名义而减少对某些文件格式的兼容政策。 最后需要指出的是,苹果已经在 1 月和 4 月推出的安全补丁中,修复了与 Image I/O 有关的六个漏洞。   (稿源:cnBeta,封面源自网络。)

苹果公司:无证据表明黑客可利用邮件漏洞进行攻击

据外媒报道,苹果公司表示,目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件(Mail)应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。 苹果公司正在反驳网络安全公司ZecOps的说法。ZecOps称,苹果的软件缺陷为黑客潜入iPhone及其他iOS设备中提供了可能,且这一漏洞已经存在了一年之久。苹果公司发起了一项调查,并在一份声明中表示,Mail问题本身并不足以让网络攻击者绕过苹果内置的安全机制。同时,苹果公司补充说,它将很快发布一个补丁。 苹果公司表示:“我们已经彻底调查了研究人员的报告,并根据所提供的信息得出结论,这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题,但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护,目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。” 总部位于旧金山的ZecOps上周五对苹果的否认做出了回应,重申它发现的漏洞确实被“一些组织”利用了。ZecOps公司在一份声明中对苹果的新补丁表示了感谢,同时宣称将在补丁发布之后“更新更多信息”。 上周三,ZecOps发布了关于漏洞的报告。报告称,当iPhone或iPad在Mail应用程序上打开一封经过特别设计的电子邮件时,网络攻击者就可以利用这些漏洞。ZecOps公司在报告中称,这一漏洞已经被“一个高级威胁的运营商”用于实施攻击了。ZecOps公司表示,遭到网络攻击的用户中有“来自北美财富500强企业的个人”、“日本一家航空公司的高管”以及“欧洲的一名记者”。 据ZecOps称,网络攻击者可能从2018年1月就开始利用这些漏洞了。ZecOps预测,当苹果发布beta版更新时,这些漏洞会被公开披露,而网络攻击者“很可能会利用这段时间,在补丁发布之前攻击尽可能多的设备”。   (稿源:新浪科技,封面源自网络。)

苹果、谷歌就接触者追踪隐私问题与德国和法国“对峙”

据外媒AppleInsider报道,目前,苹果和谷歌正在与德国和法国官员就iOS系统的安全技术问题以及如何存储接触者追踪数据的问题展开“对峙”。这两家科技巨头在4月10日宣布了一项联合倡议,将开发一个跨平台、系统级的接触者追踪框架–这种方法可以追踪并可能缓解COVID-19的传播。全球各国都在探索类似的技术,但欧洲的几个国家正在与苹果和谷歌就如何去做这件事产生分歧。 据路透社报道,由于苹果和谷歌周五拒绝了法国和德国的要求,要求他们支持自己国家的努力,或者放宽这两家科技公司正在构建的严格的隐私限制,因此,关于接触者追踪隐私问题的紧张对峙在周五升级。 这场对峙是由两大因素引发的。其一,苹果的iOS软件有一个安全功能,禁止通过蓝牙发送数据的应用在后台使用短程通信协议。如果不具备在后台运行的能力,接触者追踪应用就会受到严重阻碍,因为用户将被要求保持应用打开和手机解锁。4月早些时候,法国官员曾敦促苹果在iOS中放弃这一限制,让自己的联系人追踪应用能够正常运行。 能够在后台使用蓝牙追踪智能手机用户是否与COVID-19检测呈阳性的人接触过,是苹果和谷歌的接触者追踪系统的核心功能之一,该系统将成为公共卫生机构可以用来构建自己的应用程序的框架。但苹果和谷歌要求开发者以分散的方式处理数据,在收到COVID-19检测呈阳性之前,任何信息都不能离开用户的设备。这两家公司似乎都不愿意在这些协议上动摇。 “这些隐私原则不会改变,”苹果公司全球隐私总监Gary Davis说。”它们是基本的隐私原则,是实现这一目标所需要的。” 这就是导致对峙的另一个因素。法国和德国,以及英国的国家卫生局显然选择了集中式的接触者追踪解决方案,将用户数据存储在中央服务器上。因为这样一来,他们将无法使用苹果和谷歌的API,这让这些应用又回到了后台蓝牙的问题上。如果没有这个关键功能,数字接触者追踪措施的效果就会受到严重怀疑。而欧洲当局则对此表示不满。一位法国官员表示,欧盟国家 “完全被谷歌和苹果所挟持”。 苹果和谷歌周五宣布了有关其接触者追踪努力的细化技术细节,实际上,该计划将于4月28日提前推出。   (稿源:cnBeta,封面源自网络。)

2020Q1网络钓鱼报告:苹果用户是诈骗者最热衷的目标

根据安全公司Check Point Research公布的最新季度《品牌网络钓鱼报告》,苹果依然是网络钓鱼诈骗者最惯用的品牌,而去年第四季度的排名是第七位。Check表示:“部分原因是新款Apple Watch的预期发布,诈骗者利用在线预热发起了数次钓鱼攻击”。 和去年第三/四季度相比,针对移动平台的网络钓鱼已经成为第二大常见攻击媒介。Check Point推测这可能是由于人们现在比以往任何时刻都依赖通过智能手机来获取信息,而新冠疫情的影响让更多人困在家中。 报告中指出,网络钓鱼在2020年第一季度的钓鱼攻击类型中占比达到59%,主要针对以下品牌的消费者: Apple Netflix PayPal eBay 移动网络钓鱼攻击,主要针对以下品牌 Netflix Apple WhatsApp Chase 为了避免自己成为受害者,报告建议采取以下步骤: ● 确认您使用的是真实网站或正在从真实网站订购。一种方法是不单击电子邮件中的促销链接,而是通过谷歌搜索零售商并直接从Google结果页中单击链接。 ● 另外,提防特别优惠。有一些常识可以知道,最新款iPhone的80%折扣并不是一个可靠或值得信赖的机会。 ● 最后,请尝试留意电子邮件或网站以及不熟悉的电子邮件发件人的拼写错误。   (稿源:cnBeta,封面源自网络。)

苹果 Safari 浏览器将全面封杀超过 13 个月的长效 HTTPS 证书

Safari将在今年晚些时候不再接受新的长效HTTPS证书,也就是自其创建之日起过13个月有效期的新证书。这意味着使用在截止时间点之后发出的长寿命SSL/TLS证书的网站将在苹果系统的浏览器中引发隐私错误。 苹果在证书颁发机构浏览器论坛(CA / Browser)会议上宣布了该政策。从2020年9月1日开始,任何有效期超过398天的新网站证书都不会受到Safari浏览器的信任,而是会被拒绝。而在截止日期之前颁发的较旧证书不受此规则的影响。 通过在Safari中实施该策略,苹果将会通过扩展在所有iOS和macOS设备上实施该策略。这将对网站管理员和开发人员造成一定影响,他们需要调整接下来的证书运营策略,确保其证书满足苹果的要求,否则可能会影响超过10亿台设备和计算机上的页面访问。 PKI和SSL管理公司Sectigo的高级研究员蒂姆·卡兰(Tim Callan)参加了本周在斯洛伐克举行的会议,他证实了这一消息:“本周,苹果在第49届CA/浏览器论坛宣布,他们的产品将否决在9月1日或之后发行的期限超过398天的证书的有效性。9月1日之前颁发的证书将具有与今天的证书相同的可接受期限,即825天,从而无需对这些证书采取任何措施。” 苹果,谷歌和CA/Browser的其他成员已经考虑了缩短证书有效期的问题,该政策有其优点和缺点。 此举的目的是通过确保开发人员使用具有最新加密标准的证书来提高网站的安全性,并减少可能被盗用并重新用于网络钓鱼和恶意驱动程序攻击的旧的、被忽略的证书的数量,短期证书将确保人们在大约一年内迁移到更安全的证书。 缩短证书的使用寿命确实存在一些缺点,通过增加证书替换的频率,苹果和其他公司也使得使用加密证书的网站所有者和企业的管理周期变得更加复杂。不过,“公司可以依靠自动化来协助证书的部署,更新和生命周期管理,以减少人员开销和随着证书更换频率的增加而出现错误的风险。”例如,Let’s Encrypt发行了免费的HTTPS证书,这些证书通常会在90天后过期,并提供了自动续订的工具,如今它们已在整个Web上使用。   (稿源:cnBeta,封面源自网络。)

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

iOS 应用程序有望从新提议的 Security.plist 标准中受益

本月初,安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准,并将其命名为 Security.plist 。它的灵感,来自于已经非常流行的 Security.txt 标准。其想法是,应用程序制造商需要创建一个名为 security.plist 的属性列表文件,并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息,以便向开发者汇报安全漏洞。 (题图 via ZDNet) Rodriguez 表示,Security.plist 的想法,其实来自于 Security.txt 。作为网站上的一个类似标准,其最早在 2017 年被提出。 Security.txt 目前正在互联网工程任务组(IETF)的带动下展开标准化制定工作,但已经被业界广泛采用,并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。 分析网站安全的研究人员,能够通过一种轻松的方式,与站方取得联系。 实际上,Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议,与它此前的经历有很大关系。 我大部分时间,都是在 App 中闲逛,从而发现了许多漏洞。但迄今为止,我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。 通常情况下,我必须撰写一封邮件,发送到类似 info@company.com 企业邮箱,或在官网联系页面填写表格。 遗憾的是,这些渠道中的大多数,都是与不专业的商务或营销人员对接。他们可能不知道如何应对,甚至不明白问题的严重程度。 为了解决这个痛点,Rodriguez 提议,大家不妨在应用程序根目录中留下一份 plish 文档,并在其中备注适当的联系方式,以便轻松沟通和高效率地解决问题。 不过目前,他也只是提出了这个想法,并且希望听取应用开发商的意见,而不是敦促苹果立即下达死命令。 Rodriguez 向 ZDNet 表示:“目前我已经听取了大量的反馈,可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早,但我还是希望它在移动应用程序的部署上流行开来”。 鉴于苹果在安全实践方面一直做得很不错,Rodriguez 没有立即让苹果推广 security.plist 的强制标准,毕竟实际执行起来也是一个麻烦。 不过为了促进发展,他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件,然后将之包含在自己的 App 中。   (稿源:cnBeta,封面源自网络。)

当iPhone用户滚动Facebook提要时,Facebook将秘密使用用户的相机

Facebook 又一个隐私问题曝光?iPhone用户Joshua Maddux推测Facebook可能会在用户查看Feed时使用相机。 Maddux在Twitter上发布的素材显示,他的手机摄像头在他滚动Feed时处于激活状态。 “当您在应用中打开照片并向下滑动时,由于存在一个bug,屏幕左侧会出现一个小细条用来摄像,这下子问题便显而易见了。TNW能够独立复现这个漏洞。” The Next Web 报道。 专家成功在iOS 13.2.2 版本中实现了漏洞复现,但是iOS 12不受影响。 Maddux补充说,他在五台运行iOS 13.2.2的iPhone设备上发现了相同的问题,但无法在iOS 12上复现。 “我观察到iPhone正在运行的iOS 12没有显示相机(不是说它没有被使用),” Maddux说。 TNW的人员注意到,仅当用户授予Facebook应用程序对您的相机的访问权限时,才会出现此问题。 在撰写本文时,仍不清楚该问题是否是预期的行为,该问题不适用于Android设备。 奥地利开发人员和Google工程师Felix Krause在2017年10月描述了类似的问题。专家解释说,iOS应用程序开发人员可以利用该漏洞,通过启动用户的前置和后置摄像头,来拍摄照片并录制实时视频。 根据Krause在博客文章中分享的技术文章 ,iPhone用户永远不会收到任何通知。 据专家分析,当前解决此问题的最佳方法是取消其摄像头访问权限。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接