資料圖:來自搜狐科技視界
【蘋果手機的安全性】
由於蘋果公司的iPhone和Mac在安全方面有著出色的表現,所以很多企業和個人都青睞蘋果設備。現在的手機當中的數據和之前相比,也更加複雜和敏感,包括銀行卡信息,個人資料等等,這些都讓手機的安全和功能機時代相比,變得更加重要。
說到iOS的加密,我們可以回顧iOS8的時候,蘋果引入的手機數據加密功能,這種加密方式是延伸自iOS 7的郵件App,所有郵件的數據會通過口令加密,防止他人讀取,而這種加密方式隨著蘋果在全球推廣的Apple Pay擴大,安全程度得到了進一步加強。
資料圖:來自中關村在線
【安全性或遭到質疑】
最近,有研究人員表示,蘋果設備並不完美。他們發現了一種通過蘋果的產品竊取商業Wi-Fi和應用密碼的新方法。 他們破解了蘋果旨在幫助公司管理和保護iPhone和Mac的技術。並發現,通過在DEP系統中註冊惡意設備,可以竊取Wi-Fi密碼和更多內部商業機密。
最近被思科以23.5億美元收購的安全公司Duo Security的研究人員稱,軟件漏洞問題在於蘋果的設備註冊計劃(DEP)的開放性。雖然研究人員利用了蘋果的註冊技術,但iPhone製造商蘋果確實支持在DEP上註冊iPhone時的用戶身份驗證,這取決於對實名註冊是否有要求。
資料圖:來自搜狐科技
【利用Apple的開放性】
註冊iPhone設備後,研究人員需要在獨立的移動設備管理(MDM)服務器上註冊在DEP上註冊的iPhone,Mac或tvOS設備。 這既可以保留在硬件內部,也可以保存在公司基於雲的服務中。可以通過員工的社會工程檢索來獲取,也可以檢查發佈序列號的MDM產品論壇。
當使用蘋果技術的公司選擇不要求身份驗證時,黑客可能會找到尚未在公司的MDM服務器上設置的,真實設備的已註冊DEP序列號。最傳統的“暴力破解”方法也可行,計算機可以在DEP上搜索所有可能的數字,直到它擊中正確的數字,這是效率最低的一種選擇。
然後,攻擊者可以使用所選的序列號在MDM服務器上註冊他們的惡意設備,並作為合法用戶出現在目標公司的網絡上。 據研究人員稱,隨後他們就可以檢索受害者業務中的應用程序和Wi-Fi密碼,但MDM服務器每個序列號只能註冊一次。
資料圖:來自網易號
【不要放棄MDM】
詹姆斯巴克萊說,黑客可以簡單地搜索過去90天內生產的所有設備的序列號。 他告訴福布斯雜誌:“你找到尚未註冊的設備絕對是可行的。“在一篇論文中,研究人員表示,在最新的蘋果iPhone和Mac設備上,蘋果可以在設備芯片上使用加密技術。
在註冊DEP時唯一識別該設備, 他們補充說,蘋果也可以採用更強大,強制性的身份驗證。
巴克萊說,襲擊方法是在5月向蘋果報道的。 蘋果沒有透露是否會因研究成果而進行任何更新。 該公司在給福布斯的電子郵件中指出,這些攻擊沒有利用蘋果產品中的任何漏洞。
發言人表示,蘋果關於註冊設備的說明手冊是建議開啟身份驗證的,許多MDM提供商建議或要求採取此類安全措施。但巴克萊認為,蘋果公司將進行更新以防止此類攻擊。 “我不能代表他們計劃做什麼,但我相信會做出一些改變。”
【小芯同學有話說】iPhone可能洩露企業WiFi密碼的消息,你有什麼看法嗎?(歡迎下方評論區發表您的看法)
閱讀更多 芯華集成電路人才基地 的文章
