目前大家應(yīng)該是對黑客能不能監(jiān)控你的微信聊天（黑客可遠(yuǎn)程瀏覽全部聊天記錄）比較感興趣的，所以今天好房網(wǎng)小編CC就來為大家整理了一些關(guān)于黑客能不能監(jiān)控你的微信聊天（黑客可遠(yuǎn)程瀏覽全部聊天記錄）方面的相關(guān)知識來分享給大家，希望大家會喜歡哦。

黑客能不能監(jiān)控你的微信聊天（黑客可遠(yuǎn)程瀏覽全部聊天記錄）

一個(gè)安全研究小組發(fā)現(xiàn)Apple iMessage存在一個(gè)可瀏覽用戶全部聊天記錄與敏感數(shù)據(jù)的安全漏洞。

近日，WhatsApp為使用戶免遭竊聽，在他們的產(chǎn)品中引入了端對端的加密技術(shù)，而其他的一些公司也對其產(chǎn)品中的加密技術(shù)進(jìn)行了完善，但也存在一些特例，仍有某些公司將用戶暴露于網(wǎng)絡(luò)攻擊的威脅之中。

Apple的消息應(yīng)用程序——iMessage，就是我們的反面教材。近日，Apple解決了一個(gè)位于其消息應(yīng)用iMessage中的漏洞(CVE-2016-1764)，該漏洞是通過社工手段，欺騙用戶點(diǎn)擊一個(gè)惡意鏈接，當(dāng)用戶點(diǎn)擊后攻擊者就可以瀏覽用戶的聊天記錄，包括視頻和照片。

這個(gè)漏洞早在半年之前就被發(fā)現(xiàn)并上報(bào)給了Apple，筆記本電腦與臺式機(jī)均受該漏洞影響，Apple在3月21日發(fā)布的安全更新中修復(fù)了該漏洞。

“消息——適用于：OS X El Capitan v11 to v13”

影響：單擊一個(gè)JavaScript鏈接就可泄露用戶敏感信息

說明：這是一個(gè)存在處理JavaScript鏈接的問題。該問題通過改進(jìn)內(nèi)容和安全策略檢查已經(jīng)得到處理。

CVE-ID – CVE-2016-1764 : Uber 安全團(tuán)隊(duì)的Matthew Bryan (前Bishop Fox成員), 以及Bishop Fox的Joe DeMesy 和Shubham Shah，Apple的安全公告稱。

上周五，安全專家們發(fā)現(xiàn)該漏洞被披露，該漏洞的PoC代碼也被公布。

“Apple上月修復(fù)的漏洞CVE-2016-1764，這是一個(gè)應(yīng)用層漏洞，攻擊者通過利用OS X消息客戶端遠(yuǎn)程獲取所有以明文保存的信息內(nèi)容及附件。相較于對iMessage協(xié)議進(jìn)行攻擊，這更為簡單。攻擊者不需要有數(shù)學(xué)學(xué)士學(xué)位，也不需要高深的內(nèi)存管理、shellcode或是ROP chains的知識，他們所需要的僅僅是對JavaScript的基本理解。”該團(tuán)隊(duì)在blog寫道。

該團(tuán)隊(duì)還發(fā)布了關(guān)于PoC的視頻：

https://www.youtube.com/embed/9rgA_xqwWVE

專家強(qiáng)調(diào)稱，該漏洞并非存在于iMessage 協(xié)議中，而是在Apple的iMessage客戶端中。唯一會受影響的版本存在于 El Capitan OS X，其他的Apple設(shè)備不受影響。

這種攻擊非常的危險(xiǎn)，因?yàn)楣粽咝枰ㄟ^即時(shí)消息遠(yuǎn)程誘使用戶點(diǎn)擊特制的超級鏈接，而這有可能導(dǎo)致用戶的敏感信息被竊取。

當(dāng)受害者點(diǎn)擊鏈接時(shí)，惡意的JavaScript代碼也同時(shí)被執(zhí)行。這是由于iMessage沒有正當(dāng)?shù)呢瀼貓?zhí)行‘Sandboxing’機(jī)制，允許攻擊者訪問本地?cái)?shù)據(jù)。如果受害者將他們設(shè)備中的數(shù)據(jù)同步至iCloud，攻擊者還可以訪問所有發(fā)出與接收的SMS消息。

“對于攻擊者來說，他們需要做的就是欺騙目標(biāo)去點(diǎn)擊一個(gè)URL。此外，如果受害者電腦上的信息轉(zhuǎn)發(fā)功能啟用了攻擊者也可以恢復(fù)任何發(fā)送到iPhone的信息。”該團(tuán)隊(duì)寫道。

研究人員解釋該漏洞是因?yàn)閕Message調(diào)用了開源web瀏覽器引擎WebKit，以及該應(yīng)用可以執(zhí)行web腳本所導(dǎo)致的。不幸的是，其他許多web應(yīng)用也調(diào)用了Webkit的功能。

Apple通過攔截所有包含JavaScript的超級鏈接修復(fù)了該漏洞。

---

版權(quán)說明：本文由用戶上傳，如有侵權(quán)請聯(lián)系刪除！

---

標(biāo)簽：