Tag: 漏洞
苹果对iOS“漏洞”的说法提出异议,以暴力破解密码
苹果对iOS“漏洞”的说法提出异议,以暴力破解密码 苹果公司周六回应了有关安全研究人员发现对iOS密码保护执行简单操作的报道,称该漏洞实际上是错误测试的结果。 周五,安全研究员Matthew Hickey详细介绍了 一种绕过 iPhone的内置对策以暴力破解密码的方法。 Hickey表示,具体来说,是通过Lightning向被锁定的iPhone或iPad批量发送密码,从而触发优先于其他设备操作的中断请求。 在这种情况下,黑客会将键入的所有可能的密码组合(如果是六位数的代码,从0000到9999或000000到999999)枚举为一个连续的无空格字符串。 Hickey说,通过这种据称可操作的机制,一个邪恶的用户将能够绕过Apple的安全飞地保护措施,包括在错误的密码输入之间实施延迟,以及在连续十次失败尝试后完全擦除存储的设备数据的选项。 苹果在向AppleInsider发表的声明中说,希基的说法是错误的。 苹果表示:“最近有关iPhone密码旁路的报告是错误的,是由于测试不正确造成的。” 该声明似乎得到了Hickey的Twitter帖子的支持,他在周六修改了他的原始主张,以解释所谓的hack 可能无法 按照最初的想法 起作用 。 “看来@ i0n1c也许是正确的,在某些情况下,引脚并不一定总是进入SEP(由于口袋拨号/输入速度过快),因此尽管它看起来像在测试引脚,但并非总是发送,所以它们不要计数,这些设备的计数要比可见的少。”他在推特中说。 苹果公司是否与Hickey进行了沟通尚不清楚,尽管研究人员在周五表示,他最近就该表面漏洞与该公司联系。 Hickey继续研究该问题,尽管他的最初发现尚未被第三方复制或验证。 无论如何,Apple都希望在今年秋天即将发布的软件更新中淘汰所有与USB相关的iPhone和iPad漏洞。 该公司的iOS 12包含新的“ USB受限模式”,如果在预定时间段后未提供正确的密码,则该端口将禁用硬连线的USB数据连接。 在当前的Beta版本中,该时间窗口为一小时。 根据苹果公司的说法,新功能旨在破坏 黑客和政府的不必要的iPhone访问权限,这些黑客和政府无法为其公民提供与美国法律相同的保护 。
iOS:减少漏洞和攻击的安全措施
简介 :iOS平台在硬件和软件上均提供了高级安全功能。 它是由Apple设计的,以安全为核心。 但是,iOS用户担心为iOS应用程序提供的安全级别。 Micro Focus静态代码分析器可以跟踪这些应用程序的主要威胁,从而确定安全漏洞。 开发人员可以通过确定这些漏洞的根本原因,关联它们并确定结果的优先级来安全地进行编码。 这是一份快速指南,它分析了一些常见漏洞(称为问题陈述)并提供了克服威胁的快速解决方案。 1. 问题陈述 :该应用程序有遭受中间人(MITM)攻击和其他基于网络的攻击的风险。 说明 :在iOS 9中,Apple引入了应用程序传输安全性(ATS),此安全性功能默认情况下要求使用SSL / TLS对应用程序的所有连接进行加密。 它阻止任何应用程序发起的“未保护”连接,其中包括不使用具有最强TLS版本和密码套件的HTTPS的连接。 部分或全部禁用ATS可能会使应用程序遭受网络攻击或MitM攻击。 统计数据显示,目前应用商店中约有63%的应用使用NSAllowsArbitraryLoads键选择退出ATS,如下所示: NSAllowsArbitraryLoads =真 解决方案 :如果应用程序的ATS策略将NSAllowsArbitraryLoads设置为YES ,则通过添加所需的豁免和域来修改策略,以便能够将NSAllowsArbitraryLoads设置为NO 。 如果没有,您的应用程序迟早会被阻止。 使用NSURLSession和NSURLConnection时,默认情况下启用ATS。 诸如NSAllowsArbitraryLoads — NSAllowsArbitraryLoadsForMedia — NSAllowsArbitraryLoadsInWebContent — NSExceptionMinimumTLSVersion之类的某些键会触发附加的App Store审查并要求理由。 ATS实施用于安全网络连接的最佳做法,例如TLS 1.2和转发保密性。 将来会进行更新以反映Apple的网络最佳做法。 2. 问题陈述: TLS / SSL的弱版本可能具有以下一个或多个属性: –无法抵御MITM攻击 –用于认证和加密的密钥相同 –弱消息身份验证控制 –无法防止TCP连接关闭 这些可能使攻击者可以拦截,修改或篡改敏感数据。 说明 :传输层安全性(TLS)和安全套接字层(SSL)协议提供了一种保护机制,以确保在客户端和Web服务器之间传输的数据的真实性,机密性和完整性。 TLS和SSL都经过了修订,导致定期的版本更新。 每个新修订版都旨在解决以前版本中发现的安全漏洞。 使用不安全版本的TLS / SSL会削弱数据保护的强度,并且可能使攻击者能够泄露,窃取或修改敏感信息。 […]
