昨天騰訊安全旗下的微信公眾號(hào)發(fā)文稱,蘋果再次公開致謝,騰訊安全玄武實(shí)驗(yàn)室再現(xiàn)漏洞“收割”技能。
文章稱,蘋果正式發(fā)布iOS 11操作系統(tǒng),這一系統(tǒng)相較iOS 10迎來多項(xiàng)重大更新,且可以支持自iPhone 5S以后的所有機(jī)型。在系統(tǒng)升級(jí)的同時(shí),蘋果公司在官網(wǎng)同步發(fā)布了iOS 11以及Safari 11的安全更新,其中特別強(qiáng)調(diào),蘋果已修復(fù)了騰訊安全玄武實(shí)驗(yàn)室提交的兩大安全漏洞,并為此表示感謝。
據(jù)IT之家了解騰訊安全實(shí)驗(yàn)室此次發(fā)現(xiàn)的是一個(gè)漏洞編號(hào)為CVE -2017-7085,具體威脅表現(xiàn)為,在iOS 11和Safari 11之前的版本中,當(dāng)用戶瀏覽網(wǎng)絡(luò)時(shí),可能會(huì)因訪問惡意網(wǎng)站而導(dǎo)致地址欄被篡改,這將對(duì)用戶隱私安全帶來極大威脅。目前,蘋果已通過狀態(tài)管理的改進(jìn)解決了用戶界面不一致問題,修復(fù)了該漏洞。
此漏洞的攻擊原理:這屬于URL欺騙漏洞,或稱地址欄欺騙,可以讓黑客篡改用戶當(dāng)前地址欄中的URL。比如當(dāng)用戶訪問A網(wǎng)站,假如被黑客修改了后,雖然你打開后發(fā)現(xiàn)很像A網(wǎng)站,但其實(shí)這個(gè)頁面可能是仿制的,當(dāng)你輸入用戶名和密碼,你的賬戶就被盜取了,其實(shí)就是俗稱的釣魚網(wǎng)站。
而蘋果官方也對(duì)此事件作出了致謝:
其實(shí)發(fā)現(xiàn)漏洞的組織機(jī)構(gòu)與不在少數(shù),而能獲得蘋果官方致謝的確實(shí)不多,據(jù)了解這是國內(nèi)少數(shù)安全研究團(tuán)隊(duì)能夠獲得的特別認(rèn)可。