分析称 iPhone 漏洞或致手机受钓鱼攻击
2010-02-06 07:46:00 来源:WEB开发网核心提示:苹果iPhone在执行思科简单证书系统协议(以下简称为“SCEP”)时的漏洞会导致手机遭受黑客的钓鱼攻击,黑客将能通过提供假的移动配置文件诱使 iPhone手机访问恶意服务器,分析称 iPhone 漏洞或致手机受钓鱼攻击,据悉,苹果推出iPhone OS 3.0系统并对思科SCEP协议提供支持,iPhone的邮件设定还
苹果iPhone在执行思科简单证书系统协议(以下简称为“SCEP”)时的漏洞会导致手机遭受黑客的钓鱼攻击。黑客将能通过提供假的移动配置文件诱使 iPhone手机访问恶意服务器。
据悉,苹果推出iPhone OS 3.0系统并对思科SCEP协议提供支持,目的是增强使用iPhone进行移动企业管理时的安全性。苹果使用SCEP协议登录证书服务器,以检查移动配置 文件是否由可信任的来源颁发,但问题是,这一过程并不总是能顺利进行。
一位不愿具名的安全专家表示,问题的根源来自于苹果执行SCEP协议所采用的方法,SCEP是一种用来管理封闭系统公钥基础结构的协议。比如,它能用来管理企业IT部门为iPhone部署的安全证书和安全策略等。然而糟糕的是,iPhone使用Safari浏览器的证书授权方列表来认证移动配置文件。具体而言就是,iPhone只要求颁发移动配置文件的证书具备签名,而不会限制该证书只能进行哪些操作。
一位业内人士演示了如何用假证书攻击iPhone。首先,他从VeriSign公司获得了一个临时且只有签名的测试证书,该证书签名为“苹果公司”。随后,他使用该证书创建了一个假的移动配置文件,看上去似乎的确是由苹果公司提供。凡是下载了该配置文件的用户都会相信文件来自苹果,并进行安装。这正是噩梦的开始。
移动配置文件能更改iPhone上的许多设置,有些仅仅是带来些麻烦,比如阻止iPhone访问应用商店或是使用移动Safari浏览器。有些则会产生严重后果,比如更改虚拟专用网VPN的设置,从而让iPhone连接上黑客的服务器。此外,iPhone的邮件设定还有可能被更改,所有外发邮件都将通过黑客架设的恶意服务器转发,而用户却一无所知。
[]
- ››分析Android ANR错误
- ››iPhone应用帮助残障儿童看图说话
- ››iPhone实用工具AppBox Pro使用教程大揭秘
- ››iphone4省电方法
- ››iphone 获取地址的详细信息
- ››iPhone 库的基本内存管理策略
- ››iPhone加密文字亲手做 私密信息有保障
- ››iphone 根据经纬度坐标取详细地址(包括国,省,市...
- ››iphone/ipad ios cocoa object-c 近期苹果UI部分小...
- ››iphone中如何进行多线程编程
- ››iPhone OS SDK的这些事[安装、下载、版本、实例、...
- ››iPhone ObjectC的NSAutoreleasePool
更多精彩
赞助商链接