研究指出,这次攻击可能因这些网站被安装了可以访问iPhone钥匙链的植入物。这将使攻击者能够访问其中包含的任何凭证或证书,并且还可以允许他们访问看似安全的消息传递应用程序(如WhatsApp和iMessage)的数据库。尽管这些应用程序使用端到端加密来传输邮件,但如果终端设备受到此攻击的攻击,则攻击者可以以纯文本方式访问以前加密的邮件。
值得注意的是这次袭击,这次攻击不分青红皂白。其他攻击通常更具针对性,通过个别链接会发送到被攻击的目标。在这种情况下,仅仅访问恶意站点就足以受到攻击,而且植入物可以安装在设备上。研究人员估计,每周有成千上万的访问者访问受到破坏的网站。
如果用户重新启动手机,恶意网站安装的植入将被删除。然而,研究人员表示,由于攻击会破坏设备的钥匙串,因此攻击者可以访问其中包含的任何身份验证令牌,这些可使植入物从受损设备中消失后很长时间内维持对帐户和服务的访问。
研究人员表示,他们在五个不同的开发链中发现了14个漏洞,包括一个在研究人员发现它时未修补的漏洞。iOS版本10到12都受到漏洞的影响,研究人员称这表明攻击者试图攻击用户至少两年。
该团队表示,他们在2月份与苹果公司联系,报告了该漏洞,并给该公司短短7天的时间进行修补。TechCrunch指出,与通常由研究人员提供的典型90天窗口相比,这是一个更短的截止日期,反映了漏洞的严重程度。Apple使用iOS 12.1.4修补了这些漏洞,并修复了主要的FaceTime安全漏洞。
尽管这些漏洞现已得到修补,但研究人员指出,他们可能还有更多漏洞尚未发现。
文章来源:THEVERGR,发布此信息的目的在于传播更多信息,如有请侵权联系删除。
https://www.theverge.com/2019/8/30/20840341/iphone-website-hack-security-researchers-keychain