在新加坡 Hack in the Box 大会前,一名参与者披露 iPhone 5s “安全区域” 已被攻破且解密密钥也已被放出,但目前 iPhone 用户没有立即担心的必要。8 月 16 日,Redmond Pie 率先爆料此事,因为某位名叫 “@xerub” 的 Twitter 用户晒出一款针对 Secure Enclave 固件的提取工具。如果经验不够老道,一般人也玩不转这款工具,因其输出为二进制的内核、以及管理 Touch ID 指纹传感器和 Secure Enclave 通信相关的软件。
需要指出的是,该过程并不涉及 Touch ID 指纹传感器 / Secure Enclave 在过去和当下传输的任何信息。然而,提取一部 iPhone 5s 上的加密密钥,也并不意味着该设备就此变得不安全。只是说在面对‘钓鱼’利用的时候,大家需要比以往多长个心眼,更好是认真检查下设备的 Secure Enclave 固件有没有问题。目前暂未听说有利用该工具来收集数据的报告,也不清楚攻击者将如何在目标设备上操作或安装。即便有基于此开发的工具,也都只是针对 iPhone 5s 而已,且需要物理接触到设备并加载定制固件。
苹果 A7 及后续处理器上的 Secure Enclave 安全区,均针对 iOS 设备上的数据存储操作进行了全加密保护。该工具需要借助自身的‘安全启动’,且可通过个性化的软件更新过程(与应用程序处理器隔离),因此需要对每一部设备都单独安装一次。Secure Enclave 负责处理来自 Touch ID 传感器的指纹数据,判断其是否与当前已注册的指纹相匹配,以允许机主的访问。每套配对的 Touch ID 分享了它们的加密密钥,然后用一个随机数来生成该会话的完整加密密钥。
稿源:cnBeta,封面源自 *** ;
近期,网络安全公司Binarly研究人员发现16个影响惠普企业设备的统一可扩展固件接口高危漏洞。攻击者可以利用这些漏洞植入固件,使其能够在操作系统更新后继续存在并绕过 UEFI安全启动、Intel Boot Guard和基于虚拟化的安全性。受影响的设备包括多个惠普企业设备,如笔记本电脑、...
一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子被插入一个一次性盒中,由电池供电的Cue阅读器进...
虽然这家俄罗斯安全公司近几个月来已经失宠,但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件(没错,它真的叫阎罗王,字面上Yanluowang。)这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的,现在,卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费...
据Techspot报道,根据卡巴斯基的一项调查,30%的人认为使用跟踪软件来监视他们的伴侣是正常的。跟踪软件是一类允许一个人监视另一个人的软件,通常是在目标的移动设备上安装该软件,而他们并不知情。这类应用程序通常伪装成家长控制应用程序或防盗解决方案,可以监控互联网活动,跟踪用户的行踪,录制音频和视频...
Hackernews 编译,转载请注明出处: 西班牙国家警察局(National Police ía Nacional)上周表示,该局捣毁了一个未命名的网络犯罪组织,并逮捕了8名涉嫌与一系列以金融欺诈为目的的 SIM 卡调换攻击有关的罪犯。 犯罪团伙的嫌疑人伪装成银行和其他组织有信任力的代表,使用...
在俄罗斯入侵乌克兰之后,Conti 勒索软件团伙于周五在其官方网站上发布了一条激进的亲俄信息后,该团队中的一名成员(据信是乌克兰人)泄露了该团伙的内部聊天记录。 这条公开的亲俄信息似乎让 Conti 的一些乌克兰成员感到不快,其中一人黑进了该团伙的内部 Jabber/XMPP 服务器。今天早些时候...