什么iOS刚刚推送的11.1版本也不安全了?是的。由上周东京召开的Mobile Pwn2Own2017世界黑客大赛上获悉,苹果刚刚推出的系统更新iOS 11.1,已经被此次大赛的冠、亚军团队利用新发现的新零日Wi-Fi漏洞所攻破。
Mobile Pwn2Own2017世界黑客大赛
据悉,此次Mobile Pwn2Own2017世界黑客大赛提供了4款主流移动设备,包括iPhone 7、Samsung Galaxy S8、Google Pixel与Huawei Mate9 Pro,攻击目标涵盖有Wi-Fi、NFC、浏览器、手机基带和通信功能等。
在比赛时,上述这些设备都将运行最新版的iOS或Android系统,同时安装最新的安全补丁。由于苹果公司官方刚刚发布了最新的iOS 11.1系统版本,显然提升了攻破iPhone 7的技术难度。
在iOS 11.1的更新中修补了此前曝出的包括KRACK攻击在内的20个安全漏洞,但来自中国的Tencent Keen Security Lab团队仍然发现的4个新零日Wi-Fi漏洞,并利用其成功攻陷了iPhone 7。
注:KRACK攻击漏洞是出现在WPA2 (Wi-Fi Protected Access 2)安全协议中,允许Wi-Fi覆盖范围内的攻击者存取或干预与无线网络之间通信内容的一种安全漏洞。
新零日Wi-Fi漏洞被发现
据悉,该团队利用Wi-Fi网络与iPhone 7连接后,便成功安装了自制程序。利用新零日Wi-Fi漏洞不仅展开了代码执行攻击,还能扩大权限让恶意程序在iPhone重新启动之后依然存在。(这让原本计划在11.11购物季中出手iPhone的广大网友们情何以堪?)
不过,为了降低安全风险,该团队仅在赛后按照国际通用漏洞汇报机制报告给相关厂商来修复漏洞,然而单凭此项任务就让该研究团队抱走了11万美元的奖金。据了解,在此次Mobile Pwn2Own2017大赛上各方高手总计发现了32个漏洞,赢得了51.5万美元的总奖金。
