苹果 iPhone 漏洞曝光:以让攻击者远程重启并从远处完全控制设备
今天,谷歌 Project Zero 安全研究员伊恩 - 比尔(Ian Beer)透露,在 5 月份之前,苹果 iPhone 和其他 iOS 设备都存在一个不可思议的漏洞,可以让攻击者远程重启并从远处完全控制设备,包括阅读邮件和其他信息、下载照片,甚至有可能通过 iPhone 的麦克风和摄像头监视和监听用户。
这样的事情怎么可能呢?根据 Beer 的说法,这是因为如今的 iPhone、iPad、Mac 和 Watch 使用了一种名为 Apple Wireless Direct Link(AWDL)的协议,为 AirDrop(这样你就可以轻松地将照片和文件传送到其他 iOS 设备上)和 Sidecar(快速将 iPad 变成辅助屏幕)等功能创建网状网络。Beer 不仅想出了一个利用的方法,他还找到了一个方法来强制 AWDL 开启,即使之前没有开启。
虽然 Beer 说他 “没有证据表明这些问题被黑客利用过”,并承认他花了整整六个月的时间来找到、验证和演示这个漏洞但他建议我们不要轻视这种黑客的存在。 需要指出的是,苹果 5 月已经打了补丁修复了这个漏洞。
苹果公司没有立即回应评论请求 , 但IT之家了解到,该公司在其 5 月 2020 安全更新的几个变化日志中,确实在描述相关漏洞时提到了 Beer。
责任编辑:PSY
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
iPhone
+关注
关注
28文章
13525浏览量
216929 -
苹果
+关注
关注
61文章
24613浏览量
208748 -
控制
+关注
关注
5文章
1035浏览量
125868 -
漏洞
+关注
关注
0文章
205浏览量
15970
发布评论请先 登录
相关推荐
热点推荐
Linux系统中常见的提权风险点总结
Linux 提权(Privilege Escalation)是指攻击者或恶意用户从低权限账号获取更高权限的过程。在实际的安全事件中,攻击者很少能直接获得 root 权限,更多的情况是首先通过某个漏洞或配置错误获得普通用户权限,然
OpenClaw 部署完成后,你的系统正在被 4 万个攻击者盯着
巨大的安全漏洞里裸奔。这不是危言耸听。以下所有数据均有据可查。01丨三个真实漏洞,三组真实数据漏洞一:你的OpenClaw正在被人暴力破解CVE-2026-25253,CVSS评分8.
艾体宝方案|APT攻击下USB安全风险解析及企业防御体系构建
在当前企业安全建设中,网络边界防护体系已日趋完善,防火墙、EDR(终端检测与响应)、零信任等技术的部署,有效抵御了大部分远程网络攻击。但一个长期被忽视的薄弱环节——USB等可移动存储设备,正重新成为
curl中的TFTP实现:整数下溢导致堆内存越界读取漏洞
的条件:必须开启 TFTP no options 模式,并且需要服务器将块大小协商到一个极小的值。
攻击难度高 :利用该漏洞读取到有价值信息(如密码、密钥等)的难度非常高。攻击者很难精确控制
发表于 02-19 13:55
什么是零日漏洞?攻防赛跑中的“时间战”
在软件安全领域,零日漏洞始终是最高级别的威胁之一。“零日”意味着漏洞在被公开之前就已经被攻击者发现并利用。一旦曝光,攻击者往往在数小时内便会
分析嵌入式软件代码的漏洞-代码注入
不经过验证就流入正在使用的位置的。
同时这也是能实现整个流程可视化的最好工具。
4、结论
代码注入漏洞是危险的安全问题,因为它们可能允许攻击者中断程序,有时甚至完全控制程序。
那些关心
发表于 12-22 12:53
芯源半导体在物联网设备中具体防护方案
芯片才能解密固件。这可以防止攻击者通过拆解设备获取存储介质中的固件,并对其进行分析或篡改。例如,智能路由器的固件在存储时采用 AES - 256 算法加密,即使攻击者获取了存储介质,也无法直接读取固件
发表于 11-18 08:06
攻击逃逸测试:深度验证网络安全设备的真实防护能力
中一种极具威胁性的高级攻击手法。攻击者通过精心构造恶意流量,使其能够成功绕过各类安全设备的检测机制,实现“隐身”攻击。这种攻击不仅隐蔽性强,
发表于 11-17 16:17
芯源半导体安全芯片技术原理
可能被窃取、篡改或监听。例如,智能家居中的摄像头视频流若在传输过程中被截获,会侵犯用户隐私;工业物联网中设备的控制指令被篡改,可能导致生产事故。
设备身份安全威胁:攻击者可能伪造
发表于 11-13 07:29
电能质量在线监测装置的备用链路切换机制的远程控制有哪些安全风险?
风险:非法访问与越权操作 弱身份认证风险 风险表现:采用弱密码(如默认密码、简单密码)、未启用双因素认证(2FA),或认证机制被破解(如暴力破解、撞库)。 后果:攻击者仿冒合法运维人员登录控制平台,非法触发链路切换(
以远程控制破局,以智能运维增效:设备远程控制系统
据分析等手段,打破了设备管理的时空限制,让工作人员无需现场操作,即可对分散在各地的设备进行实时监控、参数调节与故障处理。 一、核心功能 设备远程控制
行业观察 | Azure、RDP、NTLM 均现高危漏洞,微软发布2025年8月安全更新
-CVE-2025-53779:WindowsKerberos漏洞,允许攻击者将权限提升至域管理员。✦13个严重漏洞:-9个远程代码执行漏洞
行业观察 | VMware ESXi 服务器暴露高危漏洞,中国1700余台面临勒索软件威胁
8.x版本,允许未经身份验证的远程攻击者在虚拟环境中执行任意代码、提升权限或传播勒索软件等。更令人担忧的是,该漏洞利用难度极低,且相关利用代码据信已在7月底于地下论坛
协议分析仪能监测哪些异常行为?
吊销的客户端证书继续访问。
风险:攻击者可轻松获取设备控制权或敏感数据。
弱加密或无加密
实例:
Modbus TCP:未启用TLS加密,明文传输关键指令(如阀门开度设置)。
DNP3:使用弱
发表于 07-22 14:20
官方实锤,微软远程桌面爆高危漏洞,企业数据安全告急!
近日,微软发布安全通告,其Windows远程桌面网关(RD)服务存在两大高危漏洞:CVE-2025-26677CVE-2025-26677是远程桌面网关服务DoS漏洞,允许未经授权的
评论