10月1日,騰訊安全旗下的微信公衆號“騰訊安全聯合實驗室”發文稱,蘋果再次公開致謝,騰訊安全玄武實驗室再現漏洞“收割”技能。
騰訊曝出蘋果祕密
文章稱,北京時間9月20日凌晨,蘋果正式發佈iOS 11操作系統,這一系統相較iOS 10迎來多項重大更新,且可以支持自iPhone 5S以後的所有機型。在系統升級的同時,蘋果公司在官網同步發佈了iOS 11以及Safari 11的安全更新,其中特別強調,蘋果已修復了騰訊安全玄武實驗室提交的兩大安全漏洞,併爲此表示感謝。
騰訊安全玄武實驗室發現的其中一個漏洞編號爲CVE -2017-7085,具體威脅表現爲,在iOS 11和Safari 11之前的版本中,當用戶瀏覽網絡時,可能會因訪問惡意網站而導致地址欄被篡改,這將對用戶隱私安全帶來極大威脅。目前,蘋果已通過狀態管理的改進解決了用戶界面不一致問題,修復了該漏洞。
蘋果感謝騰訊發現漏洞
同時,蘋果也對騰訊安全玄武實驗室提供的另一個Webkit高危漏洞表達額外感謝。
對此,記者電話採訪了發現上述漏洞的玄武實驗室的研究人員徐少培,他告訴記者,上述兩個漏洞是今年4月份發現的,後來提交給蘋果,但直到iOS 11才修復。
蘋果更新有自己的週期,並不是說你今天提交它明天或後天就給你修復了。“蘋果通常情況修復一個漏洞需要2到3個月,或者半年。我之前報(給蘋果)的一個漏洞,2年後才修復。”徐少培說。
上文提及的兩個漏洞屬於URL欺騙漏洞,或稱地址欄欺騙,屬於UI前端的漏洞,可以讓黑客篡改用戶當前地址欄中的URL。比如當用戶訪問谷歌,假如被黑客修改了後,你訪問谷歌的某個鏈接,雖然你看到的那個頁面也寫着谷歌,但頁面內容其實已經被更改了,如果此時頁面上讓你輸入用戶名和密碼,用戶很可能就會輕易上當、被釣魚。
根據騰訊安全實驗室介紹,騰訊安全玄武實驗室就因協助蘋果發現漏洞而獲得官方致謝,這也是國內少數安全研究團隊能夠獲得的特別認可。
TK表示,安全技術和解決方案需要軟硬件廠商以及信息安全商場共同面對,騰訊安全玄武實驗室將通過不斷的核心技術攻關,持續幫助廠商提升產品的安全性能,保障廣大用戶的上網安全。
但據記者瞭解,蘋果更新漏洞特別慢,除非有特別嚴重、高危的漏洞,蘋果纔會發新版本更新,否則一般兩三個月、半年才更新一次。
另外,黑客如果發現了非常重大的漏洞後可能會保留漏洞,而不是提交給蘋果。比如在網絡戰的時候,給你發一個短信,你用蘋果的iMessage接收的話,你點一下它,它可能就會直接控制你的手機。這種漏洞,黑客發現了基本上也不會報給蘋果,這種會用在各國網絡戰之中。
但也有可能會被蘋果截獲:“臥槽,有這麼大的bug!”這時候蘋果就會加班加點推出一個更新版本堵住漏洞。
安全領域的黑客故事,永遠比我們看到的精彩。
