过去一周的主要事件是Apple移动设备的iOS 12操作系统中的一个
错误 。 Group FaceTime功能使您可以一次与多个用户组织电话会议,该功能可用于监听订户一方在不知情的情况下发生的事情。 后来发现,Group FaceTime也可以用于监视。 尽管此方法几乎没有实际好处,但是数据保护失败,Apple暂时禁用了创建群组音频和视频呼叫的功能。
FaceTime中的漏洞与数十种先前发现和关闭的绕过屏幕锁定的方式非常相似-在所有情况下,都会在不同iOS元素的交界处创建一个安全漏洞。 首先,将群呼添加到苹果公司的Messenger中也导致了下一轮锁屏。 早在11月,研究人员Jose Rodriguez就可以
绕过这样的锁定:我们在受害人的电话上拨打FaceTime,接听电话(无需解锁即可完成此操作),并尝试将其他订户添加到对话中,从而可以访问电话簿。 一月份发现的问题变得更加严重。
iOS 12.1上的Lokskrina旁路看起来像这样:
去年6月,即将在即将面世的iOS 12中宣布了Group FaceTime技术。10月下旬,该更新可供所有Apple设备所有者使用。 从那时起,该公司发布了三个操作系统更新,不仅关闭了绕过锁屏的错误,还关闭了Google Project Zero团队的Natalie Silvanovich
发现的几种DoS攻击方法。 在所有情况下,拒绝服务都是由通过FaceTime发送到目标设备的准备好的视频流引起的。 漏洞不仅影响iOS,而且影响Mac OS。
最新的补丁集已于1月22日发布,但是与组呼叫有关的问题尚未解决。 据推测,第一个漏洞是由一个14岁的玩家意外发现的。 他打电话给FaceTime一起玩Fortnite,发现他听到了通话者的声音,尽管他们尚未接听电话。
在有关推文的讨论中,您可以看到发现iOS中的严重漏洞时会发生什么:一群记者向您飞来。 玩家的母亲向Apple报告了此问题,因此她必须创建一个开发人员帐户才能发送有关该漏洞的信息。 漏洞看起来像这样:
重现问题非常简单。 您需要呼叫另一个用户,并且在通话过程中,通过向其添加另一个参与者来创建群呼(您可以添加自己)。 此后立即,尽管订户尚未应答呼叫,您仍可以听到另一端发生的情况。 更详细地,用图片在
此处描述该图,在Reddit上,他们
确认被叫用户也听到了您的声音,尽管他仍未接听电话。 换句话说,电话会议后,设备上的麦克风和扬声器立即被激活,因此无需应答。 方便!
1月28日,媒体就此问题发表了文章。 1月29日,该漏洞以类似的方式扩展到了视频通话:您需要将自己添加到集体通话中,然后从第二台设备响应此邀请。 在这种情况下,无需受害订户即可激活摄像机。 在同一天,Apple暂时禁用了Group FaceTime服务。 在问题的初次报告和解决方法之间经过了大约一周的时间。
在处理大量敏感信息的大公司中,苹果被认为是最可靠的公司之一。 尽管与其他信息泄漏似乎并没有很大不同,但此类事件严重损害了声誉。 有一个问题,问题已解决,并且如果有人想利用此漏洞,那么这样的机会存在了大约24小时。 与Facebook,Google或Twitter的数据访问问题不同,几乎无法大规模使用Group FaceTime问题。 但是,尽管可能是大量个人信息落入了无法理解的人员和组织的手中,但很长时间以来,它们却构成了真正的威胁,并且没有任何可能的控制权,但任何形式的麦克风和摄像机的未经授权的访问将始终被视为一个严重的问题。 。
说到质量和长期。 上周有关巨大的登录名和密码数据库泄漏
的故事 仍在继续 。 1月中旬泄漏的1号收藏只是更大的包含七个档案的数据库的一部分。 数据总量接近TB。 当然,这是一个令人印象深刻的信息库,它曾经是私人信息,但总的来说并没有任何改变-无论泄漏的大小如何,都必须使用具有两因素授权的永久性,一次性,定期更新的密码来使用。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。