据外媒 10 日报道,苹果公司近期修复了允许黑客利用 MitM(中间人)攻击、窃取 iCloud 用户私人信息(姓名、密码、信用卡数据与 Wi-Fi 网络信息)的 iCloud Keychain 漏洞。
iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。
用户私人信息通过 iCloud Key-Value Store(KVS)传输时,应用程序与 KVS 之间的任何连接均由 syncdefaultsd 服务 与其他 iCloud 系统服务评断。
据悉,今年 3 月,研究人员 Alex Radocea 在即时通信加密协议(OTR)中发现这一漏洞,它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出,攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程,还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。
安全专家强调,如果用户账户未启用双因素验证,攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示,iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。
原作者:Pierluigi Paganini, 译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
from hackernews.cc.thanks for it.