上周iPhone才平息了iOS存在的安全漏洞,本周又在iPhoneOS、X上爆出了Gotofail安全漏洞,其用户加密信息令人堪忧。

iPhone用户加密信息堪忧

Gotofail安全漏洞起因

该漏洞名为,是由于在苹果代码中,使用goto命令不当所致,上周五爆出之后,很快 Crowdstrike和Google研究人员修改了路径,演示了它攻击OS X的过程,并建议用户避开不信任站点和Safari。

Gotofail安全漏洞导致后果

Gotofail安全漏洞会导致Safari用户在上网过程中遭攻击,且该漏洞波及范围已经从苹果浏览器扩展到了其他应用程序,包括邮件、Twitter、Facetime、iMessage甚至苹果的软件升级程序。

Gotofail安全漏洞攻击范围

攻击者可利用Gotofail安全漏洞绕过设备与服务器之间的标准“SSL/TLS”安全验证,发动“中间人攻击”。通过这种方法,攻击者可以拦截你的电脑和网络连接(包括Wi-Fi信号)之间流动的数据。

由于该漏洞的存在,黑客可以利MITM(man-in-the-middle)攻击手法,伪装成认证并破解传输过程。据称iMessage和Facetime安全性略高,但首次登陆苹果的me.come的iMessage还是容易受到攻击,即便消息本身已经被编译,同样的问题也存在于Facetime。

小知识之MITM攻击

MITM攻击是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。