這個iOS重大安全漏洞 蘋果竟花3年才修復

避免遭駭客入侵,專家建議盡快下載iOS 9.2.1。(圖片來源:www.redmondpie.com)

蘋果在剛發布的iOS 9.2.1中,修復一個重大安全漏洞,但這距離被外界發現竟已有3年時間。在未修復此一漏洞前,所有iPhone 4S及iPad 2以後的iOS設備,都可能因為在公共場所連接無線網路熱點,遭到駭客入侵而使身分被冒用。

此一漏洞最早由網路安全公司Skycure的Adi Sharabani及Yair Amit發現,並在2013年6月報告給蘋果。Skycure表示,這是蘋果有史以來花費修復時間最長的一個漏洞,因為狀況更加複雜,所幸目前未有相關駭客攻擊的災情發生。

據了解,此一漏洞與iOS系統強制門戶頁面處理設備保存的Cookie方式有關。當用戶使用有漏洞的iPhone或iPad,在咖啡廳、機場等公共場所連接帶有強制門戶(Captive portal)的網路時,登錄頁面會通過未加密的HTTP連接顯示網路使用條款。

而在用戶接受條款後即可正常上網,但嵌入瀏覽器會將未加密的Cookie分享給Safari瀏覽器。根據Skycure说法,駭客可藉此創建自主的虛假強制門戶,並關連到無線網路,從而竊取設備上保存的任何未加密Cookie,並進行任何攻擊。

雖然iOS 9.2.1沒有太大功能上更新,但優化了安全性與隱私性,並修補重大安全漏洞。值得注意的是,包括iPhone 4S、iPhone 5及iPhone 5S等舊機款用戶更新後,應可感受到系統效能提升的流暢體驗,有助於iOS 9的安裝率進一步提升。

(中時電子報)


推薦閱讀

發表意見
留言規則
中時電子報對留言系統使用者發布的文字、圖片或檔案保有片面修改或移除的權利。當使用者使用本網站留言服務時,表示已詳細閱讀並完全了解,且同意配合下述規定:
  • 請勿重覆刊登一樣的文章,或大意內容相同、類似的文章
  • 請不要刊登與主題無相關之內容
  • 發言涉及攻擊、侮辱、影射或其他有違社會善良風俗、社會正義、國家安全、政府法令之內容,本網站將會直接移除
  • 請勿以發文、回文等方式,進行商業廣告、騷擾網友等行為,或是為特定網站、blog宣傳,一經發現,將會限制您的發言權限或者封鎖帳號
  • 為避免留言系統變成發洩區和口水版,請勿轉貼新聞性文章、報導或相關連結
  • 請勿提供軟體註冊碼等違反智慧財產權之資訊
  • 禁止發表涉及他人隱私、含有個人對公眾人物之私評,且未經證實、未註明消息來源的網路八卦、不實謠言等
  • 請確認發表或回覆的內容(圖片)未侵害到他人的著作權、商標、專利等權利;若因發表或回覆內容而產生的版權法律責任將由使用者自行承擔,不代表中時電子報的立場,請遵守相關法律規範
違反上述規定者,中時電子報有權刪除留言,或者直接封鎖帳號!請使用者在發言前,務必先閱讀留言板規則,謝謝配合。