美國時間4月19日，據外媒報道，賽門鐵克的研究人員發現了蘋果生態中的一個漏洞，只要用戶的 iPhone 與 Mac 工作站或筆記本配對，黑客就能利用該漏洞（Trustjacking）偷偷摸摸地“接管”用戶設備。

　　從技術角度來看，Trustjacking 這個漏洞根植于“iTunes Wi-Fi 同步”功能中。

　　只要用戶在 iTunes 的選項中給“iTunes Wi-Fi 同步”打了勾，在新的 iPhone 與 Mac 設備同步時，用戶就能通過無線網絡連上智能手機，省下了麻煩的數據線。

　　確實，這個功能相當方便，借助 iTunes 用戶就能從智能手機上恢復或發送數據。

iTunes 上打開 iTunes Wi-Fi 同步的方法

　　不過，賽門鐵克研究人員認為，這項功能在設計上出現了漏洞，因為即使 iPhone 與 Mac 設備斷開了連接，也照樣能通過本地 Wi-Fi 查看配對的 iPhone。

　　能接入本地 Wi-Fi，攻擊者就能控制 iPhone

　　賽門鐵克現代操作系統安全研究部門負責人 Roy Iarchy 在 RSA 2018 安全大會上公布了他們的發現，稱黑客可濫用 iTunes Wi-Fi 同步功能來控制用戶設備，而且是神不知鬼不覺的。

　　Iarchy 指出，一旦該功能打開，只要受害者連上了一臺有毒的設備，黑客就能用 iTunes 記錄下用戶的日常操作。具體來說，iTunes API 會間隔性的進行截屏，并將截屏發回 iTunes 應用。

　　此外，黑客還能隨意在受害者手機上安裝或卸載應用，他們甚至能激活遠程備份，命令 iPhone 回傳數據，隨后通過篩選數據牟利。

　　攻擊的限制條件正在變少

　　雷鋒網發現，顯然，這樣的攻擊是有條件的，畢竟在連接電腦前 iPhone 屏幕上還是會彈出提示，用戶同意了才行，因此別胡連其他人的電腦就行。

　　不過，Trustjacking 攻擊有所不同。Iarchy 就強調，影響你 Mac 設備的惡意病毒能使用自動腳本打開“iTunes Wi-Fi 同步”功能，隨后回傳數據或感染任何配對的 iPhone，只要這些設備處在同一個無線網絡中。

　　更可怕的是，Trustjacking 已經進化了，現在不需要本地的 Wi-Fi 網絡黑客也能得手，只要 Mac 電腦和配對的 iPhone 處在相同的 VPN 上就行。

　　蘋果的補漏措施不夠全面

　　賽門鐵克表示，它們已經將這一問題通知了蘋果，不過蘋果的解決方案并不能讓它們滿意。

　　蘋果提出的解決方案是在配對時要求 iPhone 用戶輸入手機密碼，這樣的措施能防止他人趁你不注意完成手機與電腦的配對。

　　不過，賽門鐵克認為，這次漏洞封堵并沒有解決 iTunes Wi-Fi 同步這個大 bug，攻擊者還是能在斷開連接后從手機上盜取數據。

　　“我們很贊賞蘋果修補漏洞的神速，但不得不說的是這次升級并沒有全盤解決 Trustjacking 的威脅。一旦用戶選擇信任中了毒的電腦，黑客照樣能為所欲為?！盜archy 在博文中寫道。

　　“不幸的是，我們無法列出所有受信任的電腦并對后臺訪問進行篩選?！盜archy 補充道?！白詈玫姆椒ň褪谴_定自己的 iOS 設備沒有信任奇奇怪怪的電腦。此外，你還能進入設置> 通用> 重置> 重置地點和隱私來甩掉潛在的攻擊者。不過，下次再授權某臺電腦連接自己的 iOS 設備時，可得長點心了?！?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇