苹果公司成功修复 iCloud Keychain 漏洞
据外媒 10 日报道,苹果公司近期修复了允许黑客利用 MitM(中间人)攻击、窃取 iCloud 用户私人信息(姓名、密码、信用卡数据与 Wi-Fi *** 信息)的 iCloud Keychain 漏洞。
iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。
用户私人信息通过 iCloud Key-Value Store(KVS)传输时,应用程序与 KVS 之间的任何连接均由 syncdefaultsd 服务 与其他 iCloud 系统服务评断。
据悉,今年 3 月,研究人员 Alex Radocea 在即时通信加密协议(OTR)中发现这一漏洞,它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出,攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程,还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。
安全专家强调,如果用户账户未启用双因素验证,攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示,iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。
原作者:Pierluigi Paganini, 译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
“苹果公司成功修复 iCloud Keychain 漏洞” 的相关文章
Microsoft Defender 又一次误将 Google Chrome 更新视作可疑活动
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
三星手机被曝重大漏洞 运行 Android 9 至 12 的所有机型均受影响
4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。 据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采...
微软分享针对 Mac 的 UpdateAgent 复杂木马的细节
网络安全仍然是一个不断发展的领域,对威胁者和安全专家来说都是如此。尽管如此,最近产生的一个积极因素是,公司更愿意与合作伙伴、专家和更大的社区分享信息,共同应对威胁。这方面的一个例子是,微软与苹果合作修补macOS设备中的”Shrootless”漏洞。微软已经提供了有关一个针对Mac的复杂木马的详细信...
新型芯片可防止黑客从智能设备中提取隐藏信息
一位最近出院的心脏病患者正在使用智能手表来帮助监测他的心电图信号。这款智能手表看起来非常安全,但处理该健康信息的神经网络使用的是私人数据,这些数据仍有可能被恶意代理通过侧信道攻击窃取。 边信道攻击试图通过间接利用一个系统或其硬件来收集秘密信息。在一种类型的边信道攻击中,精明的黑客可以在神经网络运行...
红十字国际委员会遭受网络攻击 超 51.5 万名“高危人群”的数据遭泄露
据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。 该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。 目前还不清楚谁是这次网络事件...
Log4j 漏洞威胁升级:非联网本地系统也存在被攻击风险
在过去的一周时间里,对于 IT 管理员来说无疑是非常忙碌的,他们正在争分夺秒地应对影响世界各地系统的 Log4j 漏洞。随着安全专家不断发现日志工具中的更多漏洞,IT 管理员不知疲倦地工作,以确定和关闭任何可能使漏洞被利用的潜在访问。不幸的是,一个新发现的载体已经证明,即使是没有互联网连接的孤立系统...
评论列表
发表评论
