安全專家已經確認了一種新的ios攻擊方法,名為sandjacking。它允許能拿到裝置的攻擊者在上面安裝惡意應用程式。
sandjacking是目前ios安全面臨的問題之一。
sandjacking簡介
安全研究員michael cobb發現了一種新的ios攻擊技術,名為sandjacking,它通過利用xcode中的證書漏洞,允許惡意使用者將應用程式載入到受害者的裝置上。
攻擊場景
在ios 8.3出現之前,乙個可能的攻擊場景是,通過給惡意應用程式分配乙個與原程式類似的id(也稱為bundle id),將乙個合法的程式替換成乙個流氓版本。在原始版本被覆蓋時,該系統將禁止安裝乙個擁有類似id的應用程式。在還原過程中,它不會提供任何保障機制。
來自mi3安全的研究員chillik tamir已經演示過,乙個對未上鎖的iphone裝置有訪問許可權的攻擊者可以建立乙個備份,刪除乙個合法的程式,然後安裝乙個非法版本,最後再恢復備份。
sandjacking攻擊針對的是未破解的iphone,它允許惡意使用者訪問流氓版本替換的沙盒裡的那些應用資料。這樣做有乙個要求,就是惡意版本需要得到簽名,而惡意使用者只需提供乙個蘋果id,就可以使用未經驗證的證書進行簽名。這些流氓軟體可以通過非官方的應用商店或旁載入的方式進行傳播,從而躲避蘋果的應用程式審查過程,以及商店的限制。
總結
這種攻擊可以讓攻擊者完全控制被盜用的裝置。手機維修服務商、相關執法部門的工作人員可能會使用這種攻擊方式。
C 引用新發現
今天在 c primer plus 上學習模板的時候看到了這樣一段 簡化版 include include include include using namespace std template class pair template t1 pair first return a template...
AjaxPro新發現 四 拾零
錯誤處理 當ajax呼叫發生錯誤時,函式引數result會存在error屬性,通常通過這個屬性判斷是否出現錯誤.function ondivcomplete result 也可以使用預設處理函式,這樣就可以為錯誤處理提供統一的函式 ajaxpro.onerror function error 超時處...
WORD中的新發現
ctrl alt s 可以 變成雙開哦 這樣在編輯文件時很方便,也是乙個簡單的發現,相信這不是什麼新東西,只想拿出來說說,下面是我查過資料後,更加豐富的快捷鍵 alt ctrl s 拆分文件視窗 alt shift c 撤消拆分文件視窗 home 移動到內容的開始 end 移動到內容的最後 左箭頭鍵...