设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Sandjacking iOS利用威胁比特币和Ethereum钱包

2016-6-2 16:29| 发布者: 随便、先森。| 查看: 1216| 评论: 0|来自: 360安全播报

摘要: 尽管比特币和Ethereum钱包最近才开始出现在iOS应用程序商店,但是加密货币的用户需要额外的加强警惕。一个新的黑客攻击允许攻击者用恶意版本来切换合法的应用程序。这也意味着我们很可能在不久的将来会看到伪造的比 ...

尽管比特币和Ethereum钱包最近才开始出现在iOS应用程序商店,但是加密货币的用户需要额外的加强警惕。一个新的黑客攻击允许攻击者用恶意版本来切换合法的应用程序。这也意味着我们很可能在不久的将来会看到伪造的比特币和Ethereum钱包版本发布。

但是,必须要说明的一点是,这种攻击要求攻击者要能够对该设备进行物理访问。对于多数人来说,这可能很明显降低被攻击的概率,但不要简单的认为这种威胁会在突然之间消失。这个漏洞是在上周的Hack in the Box大会上被披露出来的,而且苹果仍然未进行修复。此外,这种攻击在未越狱的iOS设备上的仍然适用。

那么这个iOS漏洞到底干了什么呢?

显然地,这个iOS漏洞早在2016年1月27日左右就已经被发现。尽管苹果曾经试图修复这个漏洞,但同时,他们的补丁却是不完整的。直到今天,仍然有几个因素使得这个漏洞可以被利用。攻击者需要一个受限制的开发者证书,这需要一个电子邮件地址和苹果ID。

这种攻击被称为“Sandjacking”,允许攻击者访问应用程序的沙箱的内容。Sandjacking通过备份设备和删除原始应用程序,并用流氓版本替换它。一旦设备所有者启动“备份恢复”功能,被破坏的应用程序就会自动安装。当用户需要手动批准这些应用程序的时候,很可能他们会直接通过这个列表,根本不给用户第二种选择。

有些人可能认为获得对一个iOS设备的物理访问是很难的。但是与此同时,有很多维修店,家庭成员和朋友可以访问我们的设备。虽然说一个人的设备不应该相信任何其他人,但是这种情况使得攻击机会比大多数人的预期要多的多。

这对使用iOS设备的加密货币用户构成了重大的风险。到目前为止,苹果没有报告任何利用这个漏洞而被劫持的应用程序。但这是并非不可能的,我们有可能会在将来的某个时候看到恶意的比特币和Ethereum钱包应用程序出现。因此,用户在将他们的设备交给别人的时候需要多加小心。



原文链接:http://bitcoinist.net/sandjacking-ios-bitcoin-ethereum/


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部