自如回应“租客喝了7个月中水”:已修复,将沟通补偿方案 台风“海神”逐步北上 后期或将影响东北 快手8.0版本上线!品牌与产品全面升级 支持1080P视频上传和播放 200余名防疫人员为服贸会做现场保障 参会人员配发中药预防饮 【地评线】京彩好评:更新技术出口目录是应时应势之举 2020年服贸会9月4日开幕:参展企业数量超往年 个人可提前两天预约参观 最新数据持续向好引海外点赞中国经济复苏 全国消费扶贫月:农产品流通过程中的税收优惠政策了解一下 徐州三十一中女教师殴打辱骂多名学生 已被停职 塑料书皮真“有毒”吗?哪种最安全?听专家怎么说 正当防卫认定新规来了,5张图带你看明白! 阿达来提·艾再孜:民法典将护佑“全面小康”行稳致远 【桂声漫画】防疫学业两手抓——大学,我来了! 我国成为3月份以来全球主要服务贸易国中唯一出口增长国家 中央财政对受灾困难群体予以倾斜和优先保障 防汛救灾工作有力有序 王毅:维护南海稳定,携手化解挑战 【地评线】京彩好评:更新技术出口目录是应时应势之举 中国改革低保等现行社会救助制度 打造多层次分类救助体系 疫情之下“审判执行不停摆” 中国最高法要求确保完成全年审判执行任务 商务部:愿与日本深化防疫和经济社会发展合作 中方再驳蓬佩奥涉华无端指责:蓬佩奥之流的险恶用心早已被世人识破 2020年服贸会9月4日开幕 设置7类活动 东北抗联遗址“云展播” 感受传承历史培育家国情怀 木里矿区非法开采为镜鉴 青海层层出手宣示生态保护决心 昨天,今天!胜利,唯有胜利! 中国创新发展目标明确 在人工智能和先进制造业等方面有规划 世界旅游合作与发展大会将在京开幕 促旅游业再繁荣 美国国务院限制中国在美外交活动 外交部回应 商务部回应印度禁用中国118款APP:严重关切 坚决反对 北京开展有限空间专项执法检查 持续至9月11日 中央财政对受灾困难群体予以倾斜和优先保障 防汛救灾工作有力有序 云南省原副省长赵廷光逝世 享年89岁 应急管理部消防救援局前方指挥部完成各项任务正式撤离四川 男童泳池排便被索赔1.5万元 家长回应:不接受赔偿数额 商务部:调整发布《中国禁止出口限制出口技术目录》不针对具体企业 宇宙全尺度暗晕什么模样?8个“放大镜”接力模拟出清晰图像 250万贫困人口遭受洪涝灾害 官方紧急施措防范因灾返贫致贫 西银高铁陕西段联调联试正式启动 应急管理部自然灾害工程救援成都基地挂牌成立 跨境服务贸易负面清单何时推出?商务部:年底前将出台 内蒙古推荐50项国家重点研发计划项目获国家立项支持 “日军细菌战罪证”上线,让历史说话! 中方回应美方限制中国在美外交活动:于法无据、于理不合、于情不通 疫情阴霾渐散 外媒感受“中国式”热闹 实验室设计、人员培训……中国抗疫医疗专家组在几内亚分享这些经验 中科院科研人员在新型半导体激光器研发上取得进展 王毅将出席金砖国家外长视频会晤 三部门:防卫过当应兼具两个条件,缺一不可 5G手机首次击穿千元关口 上游芯片厂商芯片迭代速度加快 二战以来首次!CBO:美国政府债务明年将超过经济规模
您的位置:首页 >数码 >

谷歌让苹果修复了iPhone中的10个安全漏洞

2019-08-13 11:23:58来源:

拉斯维加斯 - 苹果公司(AAPL)以其移动设备的安全性而自豪,但周三在黑帽安全会议上的一次演讲显示,iPhone iOS操作系统中的关键漏洞使其无法接受远程攻击。由目标用户点按或滑动。

一个“零日”漏洞,这是一个公司根本不存在的缺陷,需要目标零互动,这是信息安全界的噩梦。苹果只知道这个问题 - 据报道已被阿联酋等国家行为者利用 -因为其最大的竞争对手之一:谷歌(GOOG,GOOGL)。

一天后,在Black Hat,Apple宣布了一项针对漏洞赏金计划的重大扩展,通过该计划向披露未修复漏洞的研究人员支付奖励。美国最封闭的科技巨头之一正在向外界提供安全帮助,这是一项重大进步,也是苹果客户应该欢迎的事情。

iMessage问题

在周三的演讲中,谷歌在2014年推出的Project Zero漏洞搜寻工作的研究员Natalie Silvanovich解释了她和同事们如何确认有关严重iOS漏洞的持续传言。

随后的工作中发现了10个缺陷,其中一些允许远程访问而无需用户进行交互,在诸如可视语音邮件和iMessage之类的消息传递组件中。

“这些基本上都是错误,任何人都可以从任何地方使用它来攻击任何人,”Silvanovich说。

她在演示期间演示了两个,一个允许攻击者从目标iPhone复制图像,另一个导致攻击者在受攻击的iPhone上打开计算器应用程序。

计算器的显示器显示了1,337-黑客“精英”的简写 - 观众为赞赏而鼓掌。

谈话结束后,Project Zero的博客添加了Silvanovich的详细报告,打破了这些发现。好消息:苹果公司已经修复了所有10个,并且在应该已经到达iPhone的iOS 12.4更新的安全发行说明中给予了Project Zero。坏处:许多这些错误都源于iOS功能,这些功能并没有使客户受益。

“大多数漏洞都发生在iMessage中,因为其广泛且难以枚举的攻击面,”帖子读到。“这种攻击面大部分都不是正常使用的一部分,对用户没有任何好处。”

用更少的话来说:复杂性会导致死亡。

Bug赏金2.0

苹果安全专家周四的一次谈话没有解决席尔瓦诺维奇的调查结果,但确实表明苹果公司大大扩展了它的漏洞赏金计划。安全工程负责人伊万·克斯蒂奇(IvanKrstić)在一个礼堂里说:“我们想进一步考虑这个问题。”

与苹果三年前在此次活动中宣布的漏洞报告奖励不同,今年秋季推出的计划涵盖了Apple的所有操作系统,并向所有安全研究人员开放,而不仅仅是苹果专家的一部分。它对运输软件中记录的漏洞的支出将高达100万美元。

这个计划背后的想法,如谷歌和Facebook(FB)等公司的漏洞赏金系统,是为了奖励研究人员报告“黑客”而不是将其卖给攻击者。

苹果公司扩大后的政权将支付Mac漏洞以及iPhone和iPad的漏洞,并将覆盖Apple TV的tvOS和Apple Watch的watchOS。

这百万美元的奖励将需要远程攻击的文档,该攻击需要零用户交互并获得持久的系统范围控制。较不危险的漏洞将获得更少的收益;例如,锁屏旁路的最高支付额为100,000美元。

Krstić表示,苹果公司将为未发布软件的测试版本中发现的漏洞提供50%以上的收益。“获得赏金的首要原因是在它碰到客户之前找到漏洞,”他说。

Krstić还宣布,Apple将从明年开始为安全研究人员提供“研究平台”iPhone,以便对Apple的软件和硬件进行更仔细的检查。

Bug赏金不是魔法尘埃

电子前沿基金会副执行董事兼总法律顾问库尔特·奥普萨尔(Kurt Opsahl)在Krstić的谈话中表示,苹果公司早先采取了谨慎的计划,“已经迟到了”,并对此进行了扩展。

他补充说,苹果公司的奖励现在可以解决臭虫市场上最严重的漏洞问题。

然而,另一位安全专家担心这种慷慨诱惑可能会产生意外后果。

“首先,Luta Security的首席执行官凯蒂·穆苏里(Katie Moussouris)通过电子邮件发送了最初为微软(MSFT)创建的第一个漏洞披露计划。“另一方面,这可能足以激励内部人士与外界勾结。”

但是,在根本上没有结束的努力中,更多关注这个问题只会有所帮助。正如EFF的Opsahl所说,“我相信Apple拥有一支非常优秀的安全团队,但任何复杂的系统都难以保障。”