Re: [新闻] 随便就按是?!你的iPhone成骇客“禁脔”

楼主: ReDmango (爱战暱称的哪个白痴)   2018-04-22 12:32:29
这就是最近很红的trustjacking
简单来说
当使用者接上一条线
萤幕跳出是否信任
按了之后 就算一秒钟后拔掉线
依然也可以透过itunes wifi sync功能上传
可以传输所有的资料
也可以同步投影装置画面
他有两个必要性
一、使用者必须要按信任
二、使用者必须跟有心人同网域
这两点也是赛门铁克反应给苹果后
苹果没有什么反应的原因
因为苹果认为 使用者自己按下信任
那就代表他把全部授权给这台电脑
但是问题在
一、现在已经有多种误导使用者按下信任的方法:最简单的是在文中说明要按信任才可以充电。
二、只要取得授权后,有心人可以植入vpn设定,最后在任何网域都可以视为跟有心人同网域。
而且这个攻击方式真的有够简单
python码随便都搜寻的到
随便一个script kid都能够使用
※ 引述《olmtw (支持htc,支持台湾货)》之铭言:
: 随便就按是?!你的iPhone成骇客“禁脔”
: 2018/04/22 09:00:00
: 科技中心/综合报导
: 虽然现在已经很少人把手机连到电脑上了,但是还是不得不提醒你,
: 将iPhone通过iTunes连接到电脑上其实是一件非常危险的事情,骇客
: 们能够透过一个简单的授权轻易控制你的手机。
: 据快科技报导,Symantec公司发布一则报告,在演示中称,“当我们
: 把手机连接到电脑的iTunes时,iPhone会询问是否信任这台电脑,平
: 时大家都会点击是,这看起来并不是什么大不了的事情。 但实际上
: 它可以让骇客窃听你的iPhone,甚至以木马的形式在你的iPhone上运
: 行恶意软件”。
: 报导指出,这一切都是因为你点击了“是”,在这台电脑被信任之后
: ,它就拥有了访问你iPhone上所有数据和设置的权限,然后骇客就能
: 透过电脑控制你的iPhone。
: 或许你会说,让iPhone和电脑断开连接不就行了? 太天真了,即使
: 你已经把iPhone从数据线上拔下了,骇客仍能够透过WiFi让你的
: iPhone和这台电脑保持连接,然后通过这台电脑持续操控你的iPhone
: 。
: 报导也说,因为一般而言,用户的手机和电脑都是处于同一个WiFi中
: 的,骇客们利用这一点,就能够通过iTunes持续访问iPhone。简单来
: 说,骇客会先控制你的电脑,这对他们来说并不困难,而如果你选择
: 了信任这台电脑,也就等同于信任了网线另一端的骇客。
: Symantec研究员Roy Iarchy表示, iPhone用户杜绝这一情况的唯一
: 方式就是在连接每台电脑时都选择不信任 。现在该公司已经向苹果
: 提交了这一问题,苹果可能会在未来电脑和手机连接的过程中增加一
: 个步骤,例如说输入密码来保证iPhone和电脑的连接是受信任的。
: http://www.setn.com/News.aspx?NewsID=370972
: 按这种按键的时候真的要小心捏,不信任的电脑千万不要按认识
: 否则因小失大可就不好啦,毕竟现在手机上应该难免有不少个人隐私
: 将其免费送给别人不是一件太好的事情吧?

Links booklink

Contact Us: admin [ a t ] ucptt.com