北京时间 4 月 22 晚间消息,以色列安全公司 Skycure 周二在 RSA 信息安全大会上公布了一项 iOS 8 漏洞,黑客可通过一个虚假的 WiFi 热点对 iOS 设备发动攻击。
如果基于 iOS 8 的 iPhone 或 iPad 遭到攻击,大部分连接到互联网的应用都无法使用,一启动就会崩溃,甚至还会导致 iOS 8 设备无限重启。这种攻击手段主要利用了 iOS 的 SSL 漏洞,导致一项应用在试图与服务器建立安全连接时出现崩溃。
要发动攻击,黑客必须要让 iPhone 或 iPad 接入一个虚假的 WiFi 热点。Skycure 研究人员表示,黑客可强制 iOS 设备接入虚假 WiFi 热点,主要利用了 WifiGate 漏洞。
无线运营商都在 iOS 设备中预装了程序,自动连接到特定网络。以 AT&T网络上的 iOS 用户为例,他们的设备会自动连接名为“attwifi”的无线网络,没有任何办法可阻止手机的自动连接。
当然,解锁版 iOS 设备或 Wifi 版 iPad 不会受次影响。但是,通过使用虚假 SSID,并在无线路由器上运行该漏洞,几乎所有的 iOS 设备都会受到影响。即使你不主动打开 iOS 设备中连接互联网的应用,许多后台应用还是会自动运行。
Skycure 并未公布具体的攻击步骤,并表示目前正与苹果公司合作来修复该漏洞。iOS 系统近期频繁曝出安全问题,上个月苹果曾修复了影响 iOS 系统的 FREAK 安全漏洞。
本周一,应用分析服务公司 SourceDNA 又发布报告称,约 1500 项 iOS 应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息,如密码、银行账号或其他高度敏感信息。