iCloud钥匙串加密曝漏洞 不过已经修复了
- 07 月 26 日
- 爱思助手
- 5030
据安全公司 Longterm Security 指出,一个未被报告的 iOS 安全漏洞破坏了 iCloud 的端到端加密功能,并且可能允许攻击者窃取密码,信用卡和任何的其它文件信息。
iCloud 钥匙串可让用户在所有设备上存储密码和信用卡号,而 iCloud 钥匙串同步功能则允许用户在设备之间安全地共享此信息。Longterm Security 的联合创始人 Alex Radocea 在一篇博文中写道:安全漏洞在 iCloud 钥匙串同步的自定义 Off-the-Record(OTR)中被发现,
iCloud 钥匙串的 OTR 加密协议使用密钥验证来保护用户的设备,确保信息可以在多个设备之间安全传递。Radocea 能够通过中间人攻击来绕过签名验证过程。他也能拦截设备流量,修改 OTR 数据包,然后获得一个无效的签名。
Radocea 表示被发现的安全漏洞正是这种端到端加密系统中的执行问题的方法。不过庆幸的是,这个漏洞已经在 iOS 10.3 中被修复了,这也再次证明了更新设备至最新系统的重要性。