iOS8又曝漏洞：遭攻擊后聯(lián)網(wǎng)應用將崩潰

以色列安全公司Skycure周二在RSA信息安全大會上公布了一項IOS 8漏洞，黑客可通過一個虛假的WiFi熱點對IOS設(shè)備發(fā)動攻擊。如果基于IOS 8的iPhone或iPad遭到攻擊，大部分連接到互聯(lián)網(wǎng)的應用都無法使用，一啟動就會崩潰，甚至還會導致IOS 8設(shè)備無限重啟。這種攻擊手段主要利用了IOS的SSL漏洞，導致一項應用在試圖與服務(wù)器建立安全連接時出現(xiàn)崩潰。

要發(fā)動攻擊，黑客必須要讓iPhone或iPad接入一個虛假的WiFi熱點。Skycure研究人員表示，黑客可強制IOS設(shè)備接入虛假WiFi熱點，主要利用了WifiGate漏洞。

無線運營商都在IOS設(shè)備中預裝了程序，自動連接到特定網(wǎng)絡(luò)。以AT&T網(wǎng)絡(luò)上的IOS用戶為例，他們的設(shè)備會自動連接名為“attwifi”的無線網(wǎng)絡(luò)，沒有任何辦法可阻止手機的自動連接。

當然，解鎖版IOS設(shè)備或Wifi版iPad不會受次影響。但是，通過使用虛假SSID，并在無線路由器上運行該漏洞，幾乎所有的IOS設(shè)備都會受到影響。即使你不主動打開IOS設(shè)備中連接互聯(lián)網(wǎng)的應用，許多后臺應用還是會自動運行。

Skycure并未公布具體的攻擊步驟，并表示目前正與蘋果公司合作來修復該漏洞。IOS系統(tǒng)近期頻繁曝出安全問題，上個月蘋果曾修復了影響IOS系統(tǒng)的FREAK安全漏洞。

本周一，應用分析服務(wù)公司SourceDNA又發(fā)布報告稱，約1500項IOS應用存在“HTTPS-crippling”漏洞。該漏洞允許黑客截獲用戶的加密信息，如密碼、銀行賬號或其他高度敏感信息。