導讀:一提到手機安全問題,大家都認為iPhone的IOS系統、黑莓手機的Blackberry系統是最安全的,但是由於黑莓手機已經放棄了Blackberry系統,所以僅剩下了iPhone手機的IOS系統,很多安卓手機使用者不敢瀏覽的一些不安全網站,而蘋果手機使用者卻說“隨便看,安全方面都是沒有問題的”,事實真的是這樣的嗎?蘋果手機真的有我們想象的這麼安全嗎?
就在剛剛結束的第四屆天府杯國際網路安全大賽中,一名來自國際知名移動安全研究團隊成員透過Safari瀏覽器及IOS核心的多重漏洞組合,僅透過一個使用者點選連結觸發的方式,就是小君在之前文章中提到的跨站漏洞(簡稱XSS),只用了1秒鐘就成功獲得了iPhone13Pro最高許可權,也就是說iPhone13被瞬間遠端破解,破解之後現場還演示瞭如何透過獲取的許可權遠端讀取測試機的隱私檔案等內容。
首先我們來分析一下這次入侵的基本要素,一個是Safari瀏覽器,再一個是誘導連結,最後一個是核心漏洞,也就是說安全團隊在入侵iPhone13手機之前,就已經知道IOS核心是存在漏洞的,如果現場去找漏洞是不可能短時間內找到的,而他們找到的這類漏洞我們稱之為0day,通俗來講,0day就是沒有被公開的,只有自己知道存在這個漏洞,如果一旦公開這類的0day漏洞,短時間內就會立刻失效(廠家打補丁)。
目前的0day有非常多,很多從事黑產行業的駭客手中或多或少都抓著一些,他們透過0day漏洞進行黑產勾當,在一些暗網中,一些較大廠商的0day價格能賣到幾十萬甚至上百萬美元,具體漏洞的內容是什麼,如何利用我們都無從知曉,所以說IOS本身存在的漏洞缺陷,我們蘋果手機使用者是沒有能力去改變的,只能寄希望於蘋果公司的下一版本升級,而其它的兩個要素我們是完全可以避免的,我們接著往下看。
第二,Safari瀏覽器是IOS系統自帶的瀏覽器,屬於系統核心組成部分,蘋果公司對自己的核心程式碼還是非常有自信的,由於Safari需要獲取的許可權非常的多,對應它的許可權也是極高的,一旦它的失守,就如同開啟堅固堡壘的一扇門,假如我們在瀏覽一些不明來歷的網站或是連結時,使用的是第三方的瀏覽器,比如說火狐、Chrome谷歌瀏覽器等,那麼還會存在這樣的問題嗎?
小君認為,第三方瀏覽器雖然也獲取了IOS的部分許可權,但是按照蘋果公司的尿性,絕對不可能大方的像Safari給的許可權一樣高,做過IOS開發的小夥伴肯定知道這裡面的原因,蘋果公司絕不信任除了自己的所有程式碼,也就是說即使我們入侵了第三方瀏覽器,那也僅僅可以獲取較小許可權的隱私內容和檔案,比如說瀏覽器賬號密碼、瀏覽歷史記錄等等,但是絕對不會侵犯都IOS本身這個堅固堡壘。如果單從這一次安全大會演示的0day來講,選擇第三方瀏覽器還是一個不錯的選擇。
第三,誘導連結,說起這個誘導連結相信大家就都不陌生了,從網際網路發展尤其是WEB發展初期,誘導連結就從未停止,誘導的方式千奇百怪,誘導的原因也不盡相同,有的是為了營銷產品,有的是為了賺取網站流量提高網站廣告展示量,有的就是單純透過漏洞或是跳轉釣魚網站獲取使用者的重要隱私。這個只要提高自己的分辨能力是完全在掌控之中,與其說這是個安全漏洞倒不如說是一個意識漏洞。所以說提高自己的日常安全意識,加強自己的安全防範,這類的誘導連結是絕對拿你沒有辦法的。
結語:總結起來,針對於此次大會使用的安全漏洞,我們蘋果使用者需要注意的是,及時地更新官方最新版本,儘可能的使用第三方瀏覽器瀏覽網站,避免點選或是瀏覽不明來歷的連結網站。提高日常的網路安全防範意識,比如說多看小君的文章和影片。就可以最大程度地防止本次漏洞的入侵。
感謝閱讀全文,喜歡小君的小夥伴歡迎關注我的賬號,如果文章對你有所幫助的話請點贊、轉發,我們下期再見!
