这个iOS重大安全漏洞 苹果竟花3年才修復

ysc

2016年01月25日 08:16 卢宏奇／综合报导



避免遭骇客入侵，专家建议尽快下载iOS 9.2.1。(图片来源：www.redmondpie.com)


苹果在刚发布的iOS 9.2.1中，修復一个重大安全漏洞，但这距离被外界发现竟已有3年时间。在未修復此一漏洞前，所有iPhone 4S及iPad 2以后的iOS设备，都可能因为在公共场所连接无线网路热点，遭到骇客入侵而使身分被冒用。

此一漏洞最早由网路安全公司Skycure的Adi Sharabani及Yair Amit发现，并在2013年6月报告给苹果。Skycure表示，这是苹果有史以来花费修復时间最长的一个漏洞，因为状况更加复杂，所幸目前未有相关骇客攻击的灾情发生。

据了解，此一漏洞与iOS系统强制门户页面处理设备保存的Cookie方式有关。当用户使用有漏洞的iPhone或iPad，在咖啡厅、机场等公共场所连接带有强制门户(Captive portal)的网路时，登录页面会通过未加密的HTTP连接显示网路使用条款。

而在用户接受条款后即可正常上网，但嵌入浏览器会将未加密的Cookie分享给Safari浏览器。根据Skycure说法，骇客可藉此创建自主的虚假强制门户，并关连到无线网路，从而窃取设备上保存的任何未加密Cookie，并进行任何攻击。

虽然iOS 9.2.1没有太大功能上更新，但优化了安全性与隐私性，并修补重大安全漏洞。值得注意的是，包括iPhone 4S、iPhone 5及iPhone 5S等旧机款用户更新后，应可感受到系统效能提升的流畅体验，有助于iOS 9的安装率进一步提升。

(中时电子报)

出版编辑：卢宏奇