什麼 iOS 剛剛推送的 11.1 版本也不安全瞭?是的。由上周東京召開的 Mobile Pwn2Own2017 世界黑客大賽上獲悉,蘋果剛剛推出的系統更新 iOS 11.1,已經被此次大賽的冠、亞軍團隊利用新發現的新零日 Wi-Fi 漏洞所攻破。
Mobile Pwn2Own2017 世界黑客大賽
據悉,此次 Mobile Pwn2Own2017 世界黑客大賽提供瞭 4 款主流移動設備,包括 iPhone 7、Samsung Galaxy S8、Google Pixel 與 Huawei Mate9 Pro,攻擊目標涵蓋有 Wi-Fi、NFC、瀏覽器、手機基帶和通信功能等。
在比賽時,上述這些設備都將運行最新版的 iOS 或 Android 系統,同時安裝最新的安全補丁。由於蘋果公司官方剛剛發佈瞭最新的 iOS 11.1 系統版本,顯然提升瞭攻破 iPhone 7 的技術難度。
在 iOS 11.1 的更新中修補瞭此前曝出的包括 KRACK 攻擊在內的 20 個安全漏洞,但來自中國的 Tencent Keen Security Lab 團隊仍然發現的 4 個新零日 Wi-Fi 漏洞,並利用其成功攻陷瞭 iPhone 7。
註:KRACK 攻擊漏洞是出現在 WPA2 (Wi-Fi Protected Access 2)安全協議中,允許 Wi-Fi 覆蓋范圍內的攻擊者存取或幹預與無線網絡之間通信內容的一種安全漏洞。
新零日 Wi-Fi 漏洞被發現
據悉,該團隊利用 Wi-Fi 網絡與 iPhone 7 連接後,便成功安裝瞭自制程序。利用新零日 Wi-Fi 漏洞不僅展開瞭代碼執行攻擊,還能擴大權限讓惡意程序在 iPhone 重新啟動之後依然存在。(這讓原本計劃在 11.11 購物季中出手 iPhone 的廣大網友們情何以堪?)
不過,為瞭降低安全風險,該團隊僅在賽後按照國際通用漏洞匯報機制報告給相關廠商來修復漏洞,然而單憑此項任務就讓該研究團隊抱走瞭 11 萬美元的獎金。據瞭解,在此次 Mobile Pwn2Own2017 大賽上各方高手總計發現瞭 32 個漏洞,贏得瞭 51.5 萬美元的總獎金。
