标签: Apple

Apple Touch ID漏洞可能会让攻击者劫持 iCloud 帐户

苹果今年早些时候修复了iOS和macOS中的一个安全漏洞,该漏洞可能允许攻击者未经授权访问用户的iCloud帐户。 IT安全公司Computest的安全专家Thijs Alkemade于2月发现了该漏洞,该漏洞存在于Apple实施的TouchID(或FaceID)生物识别功能上,该功能对用户进行了身份验证以登录Safari上的网站,特别是那些使用Apple ID登录的网站。 该漏洞通过披露程序将问题报告给Apple后,iPhone制造商在服务器端更新中解决了该漏洞。 认证缺陷 漏洞的核心主要是:当用户尝试登录需要Apple ID的网站时,将提示以使用Touch ID对登录进行身份验证。这样做会跳过两因素身份验证步骤,因为它已经利用了多种因素进行标识,例如设备和生物特征信息。 在登录到Apple域(例如“ icloud.com”)时,通常会使用ID和密码进行对比,其中网站嵌入了指向Apple登录验证服务器(“ https://idmsa.apple.com”)的iframe,来处理身份验证过程。 URL还包含其他两个参数-标识服务(例如iCloud)的“ client_id”和具有成功验证后要重定向到的URL的“ redirect_uri”。 但是,在使用TouchID验证用户的情况下,iframe的处理方式有所不同,因为它与AuthKit守护程序(akd)通信以处理生物识别身份验证,并随后检索icloud.com使用的令牌(“ grant_code”)页面以继续登录过程。 为此,daemon与“ gsa.apple.com”上的API通信,向该API发送请求的详细信息,并从该API接收令牌。 Computest发现的安全漏洞存在于上述gsa.apple.com API中,从理论上讲,它可以滥用这些域来验证客户端ID,而无需进行身份验证。 Alkemade指出:“即使akd提交给它的数据中包含client_id和redirect_uri,它也不会检查重定向URI是否与客户端ID相匹配。” “相反,AKAppSSOExtension仅在这些域上应用了白名单。所有以apple.com,icloud.com和icloud.com.cn结尾的域都被允许。”意味着攻击者可以利用Apple任意一个子域上的跨站点脚本漏洞来运行JavaScript代码的恶意代码段,这些代码段可以使用iCloud客户端ID触发登录提示,并使用授权令牌在icloud上获取会话.com。 设置伪热点来接管iCloud帐户 在另一种情况下,可以通过在第一次连接到Wi-Fi网络(通过“ captive.apple.com”)时显示的网页上嵌入JavaScript来执行攻击,从而使攻击者可以访问用户,只需接受该页面上的TouchID提示即可创建该帐户。 “恶意Wi-Fi网络可以与JavaScript启动的OAuth作为iCloud的网页回应,” 艾尔克梅德说。“用户会收到一个TouchID提示,但不清楚含义是什么。如果用户在该提示下进行身份验证,则其会话令牌将被发送到恶意站点,从而使攻击者可以在iCloud上为其帐户提供会话。” “通过在用户希望接收热点的位置(例如,在机场,酒店或火车站)设置一个伪造的热点,就有可能获得访问大量iCloud帐户的权限,允许访问图片的备份,手机的位置,文件等等。” 这并不是Apple第一次在身份验证基础结构中发现安全问题。苹果在5月修补了一个影响其“用Apple登录”系统的漏洞,该漏洞使远程攻击者可以绕过身份验证,并接管已使用Apple登录功能注册的第三方服务和应用程序上目标用户的帐户。     稿件与封面来源:The Hacker News,译者:叶绿体。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Malwarebytes 报告:2019 Mac 威胁检测呈上升趋势

根据 Malwarebytes 发布的 2019 威胁检测报告,今年针对 Mac 平台的威胁有上升的趋势。在排名前 25 的威胁检测中,有六种针对 Mac 平台,占总量的 16% 。尽管看似并不严重,但鉴于 Mac 用户基数只占 PC 用户群体的 1 / 12,这项发现还是不由地让我们提高了警惕。 Mac 广告软件(图自:Malwarebytes,via MacRumors) 回顾 2019 年,Mac 恶意软件首次闯入了前五,并在其中占据了两席(位列第二和第五)。 首先是被称作 NewTab 的 Mac 广告软件,其占据了跨平台检测总数的 4% 。 作为一款基于浏览器扩展程序来修改网页内容的 Adware,其可在 Chrome 浏览器中找到。 因苹果修改了扩展程序的政策,因此其无法再安装到 Safari 浏览器中。 其次是占总检测量 3% 的 PUP.PCVARK: PUP 指代‘可能不需要的程序’,是用户无意间安装的 Mac 程序的集合。 (Windows / Mac 双平台单机检测量对比) Malwarebytes 指出:2019 年,每台 Mac 检测了 9.8 次,而 Windows PC 仅为 4.2 次。 问题在于,长期以来,许多 Mac 用户以为自己并不需要防病毒软件。若悲观猜测,这些 Mac 可能已经受到了某种可疑的感染。 当然,数据仅采集自已经安装了 Malwarebytes 的设备。在现实生活中,所有 Mac 的总体威胁检测率,可能不如样本数据中那样高。   (稿源:cnBeta,封面源自网络。)

iOS 应用程序有望从新提议的 Security.plist 标准中受益

本月初,安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准,并将其命名为 Security.plist 。它的灵感,来自于已经非常流行的 Security.txt 标准。其想法是,应用程序制造商需要创建一个名为 security.plist 的属性列表文件,并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息,以便向开发者汇报安全漏洞。 (题图 via ZDNet) Rodriguez 表示,Security.plist 的想法,其实来自于 Security.txt 。作为网站上的一个类似标准,其最早在 2017 年被提出。 Security.txt 目前正在互联网工程任务组(IETF)的带动下展开标准化制定工作,但已经被业界广泛采用,并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。 分析网站安全的研究人员,能够通过一种轻松的方式,与站方取得联系。 实际上,Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议,与它此前的经历有很大关系。 我大部分时间,都是在 App 中闲逛,从而发现了许多漏洞。但迄今为止,我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。 通常情况下,我必须撰写一封邮件,发送到类似 info@company.com 企业邮箱,或在官网联系页面填写表格。 遗憾的是,这些渠道中的大多数,都是与不专业的商务或营销人员对接。他们可能不知道如何应对,甚至不明白问题的严重程度。 为了解决这个痛点,Rodriguez 提议,大家不妨在应用程序根目录中留下一份 plish 文档,并在其中备注适当的联系方式,以便轻松沟通和高效率地解决问题。 不过目前,他也只是提出了这个想法,并且希望听取应用开发商的意见,而不是敦促苹果立即下达死命令。 Rodriguez 向 ZDNet 表示:“目前我已经听取了大量的反馈,可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早,但我还是希望它在移动应用程序的部署上流行开来”。 鉴于苹果在安全实践方面一直做得很不错,Rodriguez 没有立即让苹果推广 security.plist 的强制标准,毕竟实际执行起来也是一个麻烦。 不过为了促进发展,他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件,然后将之包含在自己的 App 中。   (稿源:cnBeta,封面源自网络。)

当iPhone用户滚动Facebook提要时,Facebook将秘密使用用户的相机

Facebook 又一个隐私问题曝光?iPhone用户Joshua Maddux推测Facebook可能会在用户查看Feed时使用相机。 Maddux在Twitter上发布的素材显示,他的手机摄像头在他滚动Feed时处于激活状态。 “当您在应用中打开照片并向下滑动时,由于存在一个bug,屏幕左侧会出现一个小细条用来摄像,这下子问题便显而易见了。TNW能够独立复现这个漏洞。” The Next Web 报道。 专家成功在iOS 13.2.2 版本中实现了漏洞复现,但是iOS 12不受影响。 Maddux补充说,他在五台运行iOS 13.2.2的iPhone设备上发现了相同的问题,但无法在iOS 12上复现。 “我观察到iPhone正在运行的iOS 12没有显示相机(不是说它没有被使用),” Maddux说。 TNW的人员注意到,仅当用户授予Facebook应用程序对您的相机的访问权限时,才会出现此问题。 在撰写本文时,仍不清楚该问题是否是预期的行为,该问题不适用于Android设备。 奥地利开发人员和Google工程师Felix Krause在2017年10月描述了类似的问题。专家解释说,iOS应用程序开发人员可以利用该漏洞,通过启动用户的前置和后置摄像头,来拍摄照片并录制实时视频。 根据Krause在博客文章中分享的技术文章 ,iPhone用户永远不会收到任何通知。 据专家分析,当前解决此问题的最佳方法是取消其摄像头访问权限。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Apple Mail 收集部分用户加密邮件,以文本形式存于数据库中

苹果专家 Bob Gendler 发现 Apple Mail 将一部分用户的加密电子邮件以纯文本形式保存在名为 snippets.db 的数据库中。这个问题影响到所有用户的macOS 版本,包括最新的Catalina。 该问题目前尚未解决。 专家在调查macOS和Siri如何向用户推荐联系人和信息时发现了此问题。 “如果你从Apple Mail发送电子邮件,其他人就有方法可以读取这些电子邮件的某些文本,就像未加密一样——苹果知道这个消息已经有数月之久,但一直没有修复。” The Verge在其发布的一篇文章中写道。 专家发现,如果使用Apple Mail发送和接收加密的电子邮件,Siri会收集文本内容并将这些信息存储在数据库中。 该文章称:“snippets.db 数据库目前完全是以未加密状态存储这些本应加密的电子邮件,哪怕是禁用Siri,或者没有私钥,这些邮件仍然是可读取的。大多数人会认为禁用Siri会停止 macOS 收集用户信息。” “对于使用加密电子邮件并希望其内容受到保护的政府,公司和普通人来说,这是一个大问题。” 但是禁用Siri无法解决该问题,因为“建议”的过程中系统将持续抓取电子邮件。 专家提出了以下三种方法来阻止从 Apple Mail 抓取消息: 1.手动单击设置,转到系统偏好设置→Siri→Siri建议和隐私→取消选中“Apple Mail”复选框。 2.在终端中运行以下命令以从Apple Mail中关闭Siri: defaults write com.apple.suggestions  SiriCanLearnFromAppBlacklist -array com.apple.mail 3.部署系统级别(适用于所有用户)的  配置文件  以关闭Siri,使其无法从Apple Mail中学习用户习惯。 第三种解决方案是永久性的,它将禁用 macOS 和Siri收集所有用户的邮件信息。专家解释说,将来的操作系统更新将会禁止Siri从Apple Mail抓取信息。 Gendler 还建议手动删除 snippets.db 在  “/Users/(username)/Library/Suggestions/”. 中的 snippets.db  文件。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果更新 Windows 版 iTunes 修补了勒索软件攻击漏洞

苹果已经修补了之前在iTunes和Windows版iCloud中被发现的Bonjour漏洞,以避免勒索软件继续发动攻击。该漏洞实际上允许恶意软件在Windows中执行,看起来它是一个受信任的应用程序。精心设计的攻击者可以利用iTunes和Bonjour数字签名,绕过系统针对恶意软件的防护。 发现该漏洞的安全研究公司Morphisec表示,BitPaymer恶意软件正在使用攻击媒介感染系统。 不过,更新到iTunes 12.10.1的Windows系统不会再遭受此类攻击威胁。 目前尚不清楚该漏洞何时被引入,但苹果最近更新的适用于Windows的iTunes和iCloud已经能够阻止攻击。   (稿源:cnBeta,封面源自网络。)

苹果对 Siri 隐私问题道歉:将不再保留 Siri 互动录音

北京时间8月28日晚间消息,苹果公司今日在官网上发表声明称,为打消用户的顾虑,将对Siri进行一些更改。在默认情况下,苹果将不再保留Siri互动的录音。 英国《卫报》(The Guardian)上个月曾报道称,苹果的承包商每人每天要监听约1000条Siri录音,并将其发送回苹果进行研究。报道称,苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为,苹果8月2日宣布,已暂停使用承包商来监听Siri的录音,苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日,苹果又发表声明称,隐私是一项基本人权,苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手,其目标是为用户提供最佳体验,但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想,为此我们深表歉意。” 为此,苹果决定对Siri进行一些改进。首先,默认情况下,我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本(transcripts )帮助Siri改进。 其次,用户将可以选择主动参与来帮助改进Siri,主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好,因为他们知道苹果尊重他们的数据,并且有强大的隐私控制。当然,那些选择参与的用户可以随时选择退出。 第三,当用户选择加入时,只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   (稿源:,稿件以及封面源自网络。)

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:,稿件以及封面源自网络。)

只需发送一条短信 黑客就能成功入侵你的 iPhone

正在拉斯维加斯举办的黑帽安全峰会上,来自Google Project Zero团队的安全专家Natalie Silvanovich展示了存在于Apple iOS iMessage客户端中的无交互漏洞,只需要一条短信就可通过这些漏洞来控制用户的设备。目前苹果已经发布了这些BUG的部分安全补丁,但是并没有完全进行修复。 这些漏洞可以变成各种BUG,用于执行恶意代码以及访问用户的数据。所以最糟糕的情况就是有黑客利用这些错误来伤害用户。Silanovich与Project Zero成员SamueLGroß合作发现这些漏洞,通过逆向工程之后在iMessage中发现了多个可利用的漏洞。 出现这些漏洞的原因是因为iMessage提供了一系列通信选项和功能,例如Animojis和Apple Pay等等,这必然带来了更多的BUG和漏洞。这个无交互漏洞允许黑客从用户的信息中提取信息。这个漏洞还允许攻击者向目标发送特制的文本内容,偷换SMS短信或者图片中的内容。 虽然iOS通常具有阻止攻击的保护措施,但这个漏洞利用了系统的底层逻辑,因此iOS的防御措施将其解释为合法。由于这些漏洞全程不需要受害者参与,因此特别受到暗网和黑客组织的青睐。 Silanovich发现,这些漏洞在暗网上价值可能达到数千万美元。 Silanovich表示:“在像iMessage这样的程序中会有很多额外的攻击。个别错误相当容易修补,但你永远无法找到软件中的所有错误,你使用的每个库都将成为一个攻击面。因此,设计问题相对难以修复。”   (稿源:cnBeta,封面源自网络。)

苹果并不绝对安全 iPhone 可能泄露企业 WiFi 密码

网易科技讯 9月27日消息,许多企业都青睐苹果设备,其中一部分原因就是苹果公司的iPhone和Mac在安全方面有着出色的表现。 就在上周,福布斯杂志透露民主党全国委员会(民主党全国委员会)正在放弃Android,转而使用iOS设备,因为人们担心在中期选举中出现黑客攻击行为。 但苹果设备并不完美。 研究人员周四声称,他们发现了一种通过苹果的产品窃取商业Wi-Fi和应用密码的新方法。 他们破解了苹果旨在帮助公司管理和保护iPhone和Mac的技术。 最近被思科以23.5亿美元收购的安全公司Duo Security的研究人员称,软件漏洞问题在于苹果的设备注册计划(DEP)的开放性。 他们发现,通过在DEP系统中注册恶意设备,可以窃取Wi-Fi密码和更多内部商业机密。 利用Apple的开放性 虽然研究人员利用了苹果的注册技术,但iPhone制造商苹果确实支持在DEP上注册iPhone时的用户身份验证。 但苹果并不绝对要求用户证明他们是谁。 这取决于使用技术的公司对实名注册是否有要求。 注册iPhone设备后,研究人员需要在独立的移动设备管理(MDM)服务器上注册在DEP上注册的iPhone,Mac或tvOS设备。 这既可以保留在硬件内部,也可以保存在公司基于云的服务中。 当使用苹果技术的公司选择不要求身份验证时,黑客可能会找到尚未在公司的MDM服务器上设置的,真实设备的已注册DEP序列号。 研究人员说,这可以通过员工的社会工程检索来获取,也可以检查人们经常发布序列号的MDM产品论坛。 最传统的“暴力破解”方法也可行,计算机可以在DEP上搜索所有可能的数字,直到它击中正确的数字,这是效率最低的一种选择。 然后,攻击者可以使用所选的序列号在MDM服务器上注册他们的恶意设备,并作为合法用户出现在目标公司的网络上。 据研究人员称,随后他们就可以检索受害者业务中的应用程序和Wi-Fi密码。 但是有一个重要的警告:攻击者必须抢在合法员工之前将他们的设备注册到公司的MDM服务器上。 因为MDM服务器每个序列号只能注册一次。 但这可能性实际上还是很大的。 本周晚些时候在布宜诺斯艾利斯举行的Ekoparty会议期间提出攻击技术的詹姆斯巴克莱(James Barclay)说,黑客可以简单地搜索过去90天内生产的所有设备的序列号。 他告诉福布斯杂志:“你找到尚未注册的设备绝对是可行的。“ 不要放弃MDM 巴克莱补充道:“总的来说,这并不意味着你不应该使用DEP或MDM。这些服务提供的好处超过了具有的风险。但苹果和客户可以采取措施来减少这种风险。” 在一篇论文中,研究人员表示,在最新的苹果iPhone和Mac设备上,苹果可以在设备芯片上使用加密技术,在注册DEP时唯一识别该设备。 他们补充说,苹果也可以采用更强大,强制性的身份验证。 巴克莱说,袭击方法是在5月向苹果报道的。 苹果没有透露是否会因研究成果而进行任何更新。 该公司在给福布斯的电子邮件中指出,这些攻击没有利用苹果产品中的任何漏洞。 发言人表示,苹果关于注册设备的说明手册是建议开启身份验证的,许多MDM提供商建议或要求采取此类安全措施。 但巴克莱认为,苹果公司将进行更新以防止此类攻击。 “我不能代表他们计划做什么,但我相信会做出一些改变。”   稿源:网易科技,封面源自网络;