精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

新發現: SandJacking iOS攻擊技術

責任編輯:editor006

2016-10-09 17:12:35

摘自:51cto.com

蘋果要求所有的應用程序都通過官方應用商店進行下載安裝,從而嚴格把關,確保它們不會帶有惡意軟件。SandJacking攻擊針對的是未破解的iphone,它允許惡意用戶訪問流氓版本替換的沙盒里的那些應用數據。

  前言

安全專家已經確認了一種新的iOS攻擊方法,名為SandJacking。它允許能拿到設備的攻擊者在上面安裝惡意應用程序。

SandJacking是目前iOS安全面臨的問題之一。

SandJacking簡介

安全研究員MichaelCobb發現了一種新的iOS攻擊技術,名為SandJacking,它通過利用Xcode中的證書漏洞,允許惡意用戶將應用程序加載到受害者的設備上。

蘋果要求所有的應用程序都通過官方應用商店進行下載安裝,從而嚴格把關,確保它們不會帶有惡意軟件。該公司采用自動化解決方案來維護代碼。為了檢查程序的可靠性,以及其是否能夠正確運行,每個程序都經過了審查。移動設備上已經安裝的應用程序也都在沙箱環境中運行,這限制了其他進程對它的數據的訪問。此外,每個應用程序都必須要得到蘋果DeveloperID證書的簽名,而這種證書只能由蘋果Developer項目的成員開具。如果想要進行注冊,每個應用程序都必須要通過這樣的一個驗證過程。

攻擊場景

在iOS 8.3出現之前,一個可能的攻擊場景是,通過給惡意應用程序分配一個與原程序類似的ID(也稱為bundleID),將一個合法的程序替換成一個流氓版本。在原始版本被覆蓋時,該系統將禁止安裝一個擁有類似ID的應用程序。在還原過程中,它不會提供任何保障機制。

來自Mi3安全的研究員ChillikTamir已經演示過,一個對未上鎖的iPhone設備有訪問權限的攻擊者可以創建一個備份,刪除一個合法的程序,然后安裝一個非法版本,最后再恢復備份。

SandJacking攻擊針對的是未破解的iphone,它允許惡意用戶訪問流氓版本替換的沙盒里的那些應用數據。這樣做有一個要求,就是惡意版本需要得到簽名,而惡意用戶只需提供一個蘋果ID,就可以使用未經驗證的證書進行簽名。這些流氓軟件可以通過非官方的應用商店或旁加載的方式進行傳播,從而躲避蘋果的應用程序審查過程,以及商店的限制。

總結

這種攻擊可以讓攻擊者完全控制被盜用的設備。手機維修服務商、相關執法部門的工作人員可能會使用這種攻擊方式。

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 东城区| 西藏| 曲麻莱县| 曲松县| 车险| 平陆县| 云梦县| 尼玛县| 蓝田县| 镇康县| 临武县| 焦作市| 鹤岗市| 镇安县| 商城县| 交口县| 黎城县| 湖南省| 乌拉特前旗| 高平市| 寿宁县| 会宁县| 马尔康县| 泰州市| 云梦县| 灵山县| 仲巴县| 关岭| 平乡县| 奈曼旗| 繁昌县| 二连浩特市| 天长市| 浙江省| 宜丰县| 红桥区| 当阳市| 昆明市| 射阳县| 邵阳县| 天柱县|