加入收藏 | 设为首页 |

苹果推出“FacePalm”补丁,修复最大隐私漏洞

隐私 时间:2019-02-11 浏览:
近日,苹果公司修补了其最可怕的漏洞之一——FaceTime messenger应用程序的一个漏洞,该漏洞使得人们能够窃听iphone和mac电脑捕捉的音频和视频。

[导读]近日,苹果公司修补了其最可怕的漏洞之一——FaceTime messenger应用程序的一个漏洞,该漏洞使得人们能够窃听iphone和mac电脑捕捉的音频和视频。

  近日,苹果公司修补了其最可怕的漏洞之一——FaceTime messenger应用程序的一个漏洞,该漏洞使得人们能够窃听iphone和mac电脑捕捉的音频和视频。

  苹果的两个严重漏洞

  Group FaceTime的一个功能是允许会议电话式的聊天,但它的缺陷使得监听别人变得很简单,只需启动一个FaceTime通话,向上滑动并选择“add person”,然后输入自己的号码,就可以在一个Group FaceTime通话中加入自己。当人们在接收端看到有电话时,他们并不知道试图连接的人已经可以听到附近的声音,在很多情况下,甚至还可以看到视频。

苹果推出“FacePalm”补丁,修复最大隐私漏洞

图片来源:arstechnica

  谷歌项目的安全研究人员说,周四苹果修复的另外两个严重的iOS安全漏洞受到了攻击。一个错误索引为CVE-2019-7287,是IOKit中的内存损坏缺陷。苹果表示,它可能允许应用程序使用内核特权执行任意代码。Foundation中的另一个内存损坏bug CVE-2019-7286可能允许应用程序获得更高的特权。

  根据苹果公司对漏洞的描述,这些漏洞可能是严重的,因为它们从根本上颠覆了苹果公司的安全模型,该模型阻止应用程序访问其他应用程序,也阻止应用程序与iOS本身的安全交互。谷歌发言人拒绝提供有关袭击的细节,苹果的一名代表也拒绝置评。

  10天前,当窃听漏洞的细节首次曝光时,隐私倡导者和普通用户都感到震惊。当一名14岁的少年发现了这一漏洞,而苹果公司在这名少年的母亲发送了多封电子邮件后未能采取行动时,人们要求苹果公司给出答案。据路透社报道,自那以来,纽约司法部长Letitia James就此事展开了调查,一些批评者现在把这个漏洞称为FacePalm。

  周四,苹果发布了iOS和macOS更新,修复了这个问题。 “在处理FaceTime群组调用时存在一个逻辑问题,”公告称。“这个问题通过改善状态管理得到了解决。”

  在经历了一些无法解释的延迟之后,苹果去年推出了Group FaceTime。批评人士说,FacePalm的脆弱性证明,这项新功能在上线之前没有经过充分测试。这名少年的母亲无法联系到苹果公司的某个人,后者能够理解她儿子发现的严重性,这使得苹果公司的安全和质量保证流程受到了更多批评。

  本周早些时候,18岁的Linus Henze上传了一段视频,讨论他所说的macOS的一个弱点,即没有必要将存储在密钥链中的密码暴露给恶意应用程序,这让苹果的安全再次受到审视。Henze没有提供更多细节,但他将这一弱点与美国国家安全局前黑客Patrick Wardle在2017年披露的类似弱点进行了比较。

  虽然这两个密钥链漏洞可能很严重,但只有在恶意软件已经安装到机器上之后,才可能被利用。对于大多数攻击者来说,这本身就是一个很大的负担。Wardle表示,苹果修复了这个漏洞,但尚不清楚新的漏洞是否会被修复。到目前为止,Henze拒绝向苹果提供技术细节,他说此举是为了抗议苹果没有一个覆盖macOS的漏洞赏金计划。

  如何更新?

  一旦FacePalm漏洞的消息被公开,苹果就在其服务器上禁用了群组FaceTime,此举可能阻止了任何人进一步窃听不知情的用户。不过,出于极大的谨慎,iOS和MacOS用户应该尽快安装更新。

  默认情况下,更新是自动安装的,但通常不是马上安装。想在iOS上更新的话,可以选择设置>通用>软件更新,然后选择下载安装。要手动安装macOS更新,请选择系统首选项>软件更新>并下载。

  原标题:Apple pushes fix for “FacePalm,” possibly its creepiest vulnerability ever

  作者:DAN GOODIN

  编译:郑翊君

  原文链接:

  https://arstechnica.com/information-technology/2019/02/apple-pushes-fix-for-facepalm-possibly-its-creepiest-vulnerability-ever/

声明:凡注明为其它来源的信息均转自其它平台,目的在于传递更多信息,并不代表本站观点及立场和对其真实性负责。若有侵权或异议请联系我们删除。

千家智客微信公众号

扫描下方二维码,关注千家智客微信公众号(qianjiacom),随时随地知晓智能行业天下事!

苹果推出“FacePalm”补丁,修复最大隐私漏洞