什么iOS剛剛推送的11.1版本也不安全了?是的。由上周東京召開的Mobile Pwn2Own2017世界黑客大賽上獲悉,蘋果剛剛推出的系統更新iOS 11.1,已經被此次大賽的冠、亞軍團隊利用新發現的新零日Wi-Fi漏洞所攻破。
Mobile Pwn2Own2017世界黑客大賽
據悉,此次Mobile Pwn2Own2017世界黑客大賽提供了4款主流移動設備,包括iPhone 7、Samsung Galaxy S8、Google Pixel與Huawei Mate9 Pro,攻擊目標涵蓋有Wi-Fi、NFC、瀏覽器、手機基帶和通信功能等。
在比賽時,上述這些設備都將運行最新版的iOS或Android系統,同時安裝最新的安全補丁。由于蘋果公司官方剛剛發布了最新的iOS 11.1系統版本,顯然提升了攻破iPhone 7的技術難度。
在iOS 11.1的更新中修補了此前曝出的包括KRACK攻擊在內的20個安全漏洞,但來自中國的Tencent Keen Security Lab團隊仍然發現的4個新零日Wi-Fi漏洞,并利用其成功攻陷了iPhone 7。
注:KRACK攻擊漏洞是出現在WPA2 (Wi-Fi Protected Access 2)安全協議中,允許Wi-Fi覆蓋范圍內的攻擊者存取或干預與無線網絡之間通信內容的一種安全漏洞。
新零日Wi-Fi漏洞被發現
據悉,該團隊利用Wi-Fi網絡與iPhone 7連接后,便成功安裝了自制程序。利用新零日Wi-Fi漏洞不僅展開了代碼執行攻擊,還能擴大權限讓惡意程序在iPhone重新啟動之后依然存在。(這讓原本計劃在11.11購物季中出手iPhone的廣大網友們情何以堪?)
不過,為了降低安全風險,該團隊僅在賽后按照國際通用漏洞匯報機制報告給相關廠商來修復漏洞,然而單憑此項任務就讓該研究團隊抱走了11萬美元的獎金。據了解,在此次Mobile Pwn2Own2017大賽上各方高手總計發現了32個漏洞,贏得了51.5萬美元的總獎金。
京公網安備 11010502049343號