iOS安全漏洞或影響10億臺iPhone和iPad

責(zé)任編輯:editor004

作者:李明

2016-04-01 11:15:34

摘自:新浪科技

但萊姆鮑姆稱:“如果有人出于惡意目的,他們不介意簽署授權(quán)證書協(xié)議,并花上299美元來獲得該證書,這并不是多大障礙。

北京時間3月31日晚間消息,國外媒體報道,知名互聯(lián)網(wǎng)安全廠商Check Point周四在2016年亞洲黑帽大會(Black Hat Asia 2016)上稱,約10億臺iPhone和iPad可能受到iOS 9一處安全漏洞的影響。

Check Point稱,該安全漏洞最早發(fā)現(xiàn)于iOS 8系統(tǒng)中,蘋果公司(以下簡稱“蘋果”)在iOS 9中對該漏洞進(jìn)行了修復(fù),但通過MDM(移動設(shè)備管理)安裝的企業(yè)應(yīng)用仍繼續(xù)受該漏洞影響,這意味著黑客仍可以在企業(yè)用戶的移動設(shè)備上安裝惡意應(yīng)用。

Check Point安全解決方案副總裁阿維·萊姆鮑姆(Avi Rembaum)稱:“雖然目前還只是在理論上存在這種可能,但不幸的是,基于歷史經(jīng)驗,我們談到過的許多可能發(fā)生的安全問題,最終都發(fā)生了。”

該問題最初發(fā)現(xiàn)于iOS 8的企業(yè)版開發(fā)者帳號上。蘋果的企業(yè)版開發(fā)者帳號年費299美元,企業(yè)可以通過iOS開發(fā)者企業(yè)計劃(iOS Developer Enterprise Program)購買蘋果的授權(quán)證書,然后上傳私人應(yīng)用(private app)。

當(dāng)前,越來越多的企業(yè)支持BYOD(員工攜帶自己的設(shè)備辦公),這樣員工就可以不受時間、地點和設(shè)備的限制而隨時隨地辦公。Check Point數(shù)據(jù)顯示,在“財富100強(qiáng)”企業(yè)中,員工們的設(shè)備上安裝了318款私人應(yīng)用和116個授權(quán)證書。

但萊姆鮑姆稱:“如果有人出于惡意目的,他們不介意簽署授權(quán)證書協(xié)議,并花上299美元來獲得該證書,這并不是多大障礙。這是一件很危險的事情。”

為此,蘋果在iOS 9中強(qiáng)化了私人應(yīng)用的安裝,但該強(qiáng)化并不涵蓋由MDM向員工設(shè)備推送的應(yīng)用。為此,Check Point預(yù)計,當(dāng)前約有10億臺iPhone和iPad受該漏洞的影響。

企業(yè)經(jīng)常通過MDM服務(wù)向員工設(shè)備推送更新,但MDM-設(shè)備連接也是“中間人攻擊”(MITM)的一個入口。從理論上講,黑客可以截獲MDM和設(shè)備之間的通信,然后安裝授權(quán)和惡意應(yīng)用。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號