看板iOS
某個 iPhone X 的漏洞讓駭客可以竊取「最近刪除」的照片
本週在國外的一場駭客競賽 Mobile Pwn2Own 中,兩位研究人員 Richard Zhu 和 Amat Cama 在運行 iOS 12.1 的 iPhone X 上,發現了一個 Safari 的漏洞,藉此駭客就能竊取系統上應該要被刪除(但尚未真正刪除)的照片和文件。而他們也因此成功地獲得了 5 萬美元的活動獎金。
在示範如何竊取照片和檔案的過程中,他們先透過惡意 WiFi 存取點連接到運行 iOS 12.1 的設備,並利用 Safari 中 JIT 編譯器的漏洞,就能任意地從照片 app 的「最近刪除」相簿中,存取這些未真正被刪除的照片(從內建 app 刪除照片後,檔案會自動移至該資料夾,待 30 天後才會自動刪除)。然而這個做法,理論上也能用於竊取其它經 JIT 編譯器處理的檔案,只是他們第一個成功竊取的檔案是照片而已。
其實這已經不是第一次駭客在該活動中,成功透過 Safari 的漏洞獲取 iPhone 的資料了。然而按照比賽的規定,這項漏洞已於第一時間通知官方。只是根據富比士的報導,該漏洞目前應該還尚未得到修補。如果你手邊恰巧使用的是 Android 設備,也先別沾沾自喜啊,因為活動中同時也發現了透過 Samsung Galaxy S9 基帶漏洞和小米 6 NFC 漏洞竊取資料的手段。只能說,活在資訊安全難有保障的當下,重要(見不得人)的資料記得妥善處理囉。
來源:
https://engt.co/2Dpv5IP
出門在外真的不要亂連不明的「WiFi」
沒想到現在還是無法防堵惡意 WiFi 的侵害
WiFi 的認證規格跟手機連網技術是不是該努力改善這個問題
--
※ 批踢踢實業坊(ptt.cc), 來自: 218.161.47.131※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1542366698.A.47B.html
→ chenming867: 應該不用擔心吧,下午看通訊版有人說連FBI都破解不了 11/16 19:28
→ chenming867: 不是嗎? 11/16 19:28
推 mouzshift: FBI那次請一個昂貴的私人公司破了 11/16 19:30
推 PPTer: 沒關係 iCloud滿了照片直接完全刪除不怕哈哈哈 QQ 11/16 19:39
推 lockgipo: 反正肥宅自拍照也沒人想看 11/16 20:22
推 CLV518: 這是Apple的便民措施讓你看照片的,信仰不足才會認為是BUG 11/16 21:09
推 xvited945: 我一直不相信破解不了這回事啊 11/17 08:32
推 mathrew: 程式是人寫的 沒有破解不了的 11/17 12:41
推 t887898821: 人外有人 11/17 19:37