非交互式黑客方法允许攻击者在没有用户输入的情况下访问数据。苹果仍然不能完全修复这些漏洞。
根据多伦多大学8月下旬发表的研究,“零点击”(非交互式)攻击越来越普遍。零点击是一种在受害者没有授予访问权限或点击肮脏链接的情况下窃取用户数据的方式。
这种黑客方法是专门针对应用程序的安全漏洞的。虽然苹果发布了很多更新,但都没能彻底解决问题。
事实上,只有少数iOS用户需要面对这种情况。到目前为止,攻击通常针对特定目标,如政治家或反对派人物。换句话说,普通用户不太可能通过零点击被黑。然而,对于非交互式黑客攻击,仍然没有真正合适的解决方案。
“得知应用程序可以自动接收来自任何人的数据和消息令人沮丧,”安全研究员帕特里克沃德尔说。这意味着通过零点击技术,黑客可以从任何地方窃取任何用户的数据。
在更新中,苹果引入了,这是一个帮助iMessage防止来自外部的潜在安全威胁的功能。然而,根据多伦多大学的研究,BlastDoor可以很容易地被一个新的零点击漏洞绕过。
预计iOS15更新将为苹果的消息应用带来另一个“盾牌”,但具体细节尚未公布。
“零点击攻击特别复杂,部署成本可能高达数百万美元。它们主要用于锁定名人,”该公司的安全主管IvanKrsti说。苹果分享。Krsti先生表示,虽然零点击不会影响大多数用户,但技术团队将继续努力保护潜在客户。
由于iMessage或iOS生态系统的复杂性,苹果很难从零开始重新开发这款应用来锁定所有漏洞。
另一个可能的解决方案是,苹果可以允许用户完全“锁定”他们的iMessage。通过阻止未知来源的数据,并在与陌生人交流之前警告用户,这种情况将得到显著改善。当然,这会给用户体验带来很多不便。
“如果苹果允许我们删除iMessage,那就太好了。像Blastdoor这样的安全方法是不够的,”安全研究员PatrickWardle分享道。
本文链接:http://www.slxf119.com/17619.html 转载需授权!
网友评论