Safe News
小心!黑客找到闯入智能房卡酒店房间的迂回路线
一名F-Secure研究人员在柏林参加信息安全会议时,其笔记本电脑被从酒店房间偷走,由于没有强行进入的迹象,酒店工作人员认为该研究人员自己存在失或说谎。这一事件激起了研究人员的两位同事Timo Hirvonen和Tomi Tuominen的兴趣,将注意力转向酒店使用的数字锁定系统。
大多数酒店(特别是高端或连锁酒店)使用某种形式的电子锁系统。接待员可以为客人提供便宜的一次性钥匙卡,而不是分发实物钥匙。这些钥匙卡基于RFID技术。F-Secure的研究人员将注意力转向由世界上最大制造商Assa Abloy构建的流行酒店锁定系统。
F-Secure对Assa Abloy非常赞赏。在博客文章中,它将其描述为“高品质的品牌”,并表示其锁具以质量和安全着称。但是这并没有阻止他们发现底层软件(称为Vision,由第三方公司VingCard开发)的漏洞,这会让入侵者访问特定系统中的每个房间。
F-Secure在一份声明中表示:“从字面上看,任何钥匙都可以满足要求,无论是房间钥匙还是储物柜或车库的钥匙。更糟糕的是,密钥甚至不需要现在处于活动状态。该公司表示,“即使是五年前停产的过期钥匙也能起作用。”使用一些专门的硬件,在网上花费“几百欧元”和一些定制软件,攻击者可以分析该密钥并使用计算过程确定主密钥。
然后攻击者可以使用该设备访问属性中的任何房间而不受阻碍。或者,他们可以将其印在空白的钥匙卡上,并将其传递给同谋。据F-Secure称,这种攻击既适用于磁条,也适用于更复杂的RFID酒店钥匙卡。
在发现这个漏洞之后,F-Secure去年通知了Assa Abloy,并悄悄与瑞典公司合作解决了这个问题。修复已创建并发布给受影响的酒店。F-Secure不会发布任何代码或漏洞的完整详细信息。这是明智的,因为一些酒店客房锁定系统可能没有实施补丁,因此仍然存在风险。
小心!黑客找到闯入智能房卡酒店房间的迂回路线
一名F-Secure研究人员在柏林参加信息安全会议时,其笔记本电脑被从酒店房间偷走,由于没有强行进入的迹象,酒店工作人员认为该研究人员自己存在失或说谎。这一事件激起了研究人员的两位同事Timo Hirvonen和Tomi Tuominen的兴趣,将注意力转向酒店使用的数字锁定系统。
大多数酒店(特别是高端或连锁酒店)使用某种形式的电子锁系统。接待员可以为客人提供便宜的一次性钥匙卡,而不是分发实物钥匙。这些钥匙卡基于RFID技术。F-Secure的研究人员将注意力转向由世界上最大制造商Assa Abloy构建的流行酒店锁定系统。
F-Secure对Assa Abloy非常赞赏。在博客文章中,它将其描述为“高品质的品牌”,并表示其锁具以质量和安全着称。但是这并没有阻止他们发现底层软件(称为Vision,由第三方公司VingCard开发)的漏洞,这会让入侵者访问特定系统中的每个房间。
F-Secure在一份声明中表示:“从字面上看,任何钥匙都可以满足要求,无论是房间钥匙还是储物柜或车库的钥匙。更糟糕的是,密钥甚至不需要现在处于活动状态。该公司表示,“即使是五年前停产的过期钥匙也能起作用。”使用一些专门的硬件,在网上花费“几百欧元”和一些定制软件,攻击者可以分析该密钥并使用计算过程确定主密钥。
然后攻击者可以使用该设备访问属性中的任何房间而不受阻碍。或者,他们可以将其印在空白的钥匙卡上,并将其传递给同谋。据F-Secure称,这种攻击既适用于磁条,也适用于更复杂的RFID酒店钥匙卡。
在发现这个漏洞之后,F-Secure去年通知了Assa Abloy,并悄悄与瑞典公司合作解决了这个问题。修复已创建并发布给受影响的酒店。F-Secure不会发布任何代码或漏洞的完整详细信息。这是明智的,因为一些酒店客房锁定系统可能没有实施补丁,因此仍然存在风险。
Safe News
Node.js 10正式释出!强化安全、解决原生模组版本破碎化问题
Node.js官方释出Node.js 10.0.0,强调其安全性将OpenSSL版本升级到了1.1.0,还将JavaScript引擎更换为Google V8引擎6.6版本,不只强化了性能,在错误处理或事件追踪等诊断报告也有所改进。另外,Node.js 10.x将在今年10月成为长期支持版本,官方提醒企业应尽早准备系统迁移。
升级OpenSSL 1.1.0强化加密功能。Node.js 10.0.0是第一个使用OpenSSL 1.1.0的版本,而在近日随着TLS 1.3规范制定完成,OpenSSL开发团队也已经准备发布OpenSSL 1.1.1以支持最新的加密功能,官方表示,在Node.js 10.x成为长期支持版本前,将会支持OpenSSL 1.1.1,以确保企业能使用最新的加密功能。
虽然现在还无法支持TLS 1.3,但Node.js 10.x仍提供许多先进的现代加密技术,包括支持Google为行动装置设计的ChaCha20加密以及Poly1305验证器算法,另外,也支持目前网络应用的标准配备AEAD加密(Authenticated Encryption with Associated Data)。
正式支持N-API,解决原生模组版本破碎问题
除了安全性更新外,Node.js 10.x另一大卖点是ABI稳定模组API(N-API)已经成为正式支持的API。在2017年5月时,微软资深软体经理Arunesh Chandra以及IBM Node.js技术主管Michael Dawson联合发文,发布为打造原生模组的N-API。他们表示,由于Node.js的生态系由JavaScript和原生附加模组构成,而原生附加模组以C/C++撰写并相依于V8和NAN API。
这样的相依性使Node.js的ABI(Application Binary Interface)与API缺乏稳定性,这些原生附加模组每次都需要为Node.js主要释出版本重新编译,经官方评估,这样的影响直接或间接影响了大约30%的模组生态系。
因此为降低开发人员的软体维护成本,Node.js推出下一代稳定ABI的Node.js API,或是称为N-API,目的透过为JavaScript虚拟机器的原生API,提供稳定ABI抽象层来解决这个问题。因此现在原生模组只要编译一次,便能在所有的Node.js版本执行。
这样将促进虚拟机器的多样性,Arunesh Chandra表示,虚拟机器的多样性将为Node.js原生模组生态系释放更多开发人员的生产力。由于Node.js在物联网应用越趋普及,不同虚拟机器供应商透过支持标准稳定的ABI,不只能让开发者灵活地使用该平台,虚拟机器也能为特定平台作最佳化。
V8引擎带来执行性能提升,Npm 6释出
Google V8引擎改进了Promise、非同步产生器、非同步叠代以及阵列性能,这也让Node.js直接得到了性能改善的好处。而Google V8团队也持续改进即将非同步函数以及非同步产生器的性能,开发者可以持续关注。
而Node.js 10.0.0释出附带套件管理器Npm 5.6.x,不过Npm版本6也已经释出,在Node.js 10.x的更新周期中,将会替换Npm到最新版本。Npm 6更新功能也是侧重于安全性、稳定性和性能改进,比起之前的版本,性能提升高达1700%。
Node.js 10正式释出!强化安全、解决原生模组版本破碎化问题
Node.js官方释出Node.js 10.0.0,强调其安全性将OpenSSL版本升级到了1.1.0,还将JavaScript引擎更换为Google V8引擎6.6版本,不只强化了性能,在错误处理或事件追踪等诊断报告也有所改进。另外,Node.js 10.x将在今年10月成为长期支持版本,官方提醒企业应尽早准备系统迁移。
升级OpenSSL 1.1.0强化加密功能。Node.js 10.0.0是第一个使用OpenSSL 1.1.0的版本,而在近日随着TLS 1.3规范制定完成,OpenSSL开发团队也已经准备发布OpenSSL 1.1.1以支持最新的加密功能,官方表示,在Node.js 10.x成为长期支持版本前,将会支持OpenSSL 1.1.1,以确保企业能使用最新的加密功能。
虽然现在还无法支持TLS 1.3,但Node.js 10.x仍提供许多先进的现代加密技术,包括支持Google为行动装置设计的ChaCha20加密以及Poly1305验证器算法,另外,也支持目前网络应用的标准配备AEAD加密(Authenticated Encryption with Associated Data)。
正式支持N-API,解决原生模组版本破碎问题
除了安全性更新外,Node.js 10.x另一大卖点是ABI稳定模组API(N-API)已经成为正式支持的API。在2017年5月时,微软资深软体经理Arunesh Chandra以及IBM Node.js技术主管Michael Dawson联合发文,发布为打造原生模组的N-API。他们表示,由于Node.js的生态系由JavaScript和原生附加模组构成,而原生附加模组以C/C++撰写并相依于V8和NAN API。
这样的相依性使Node.js的ABI(Application Binary Interface)与API缺乏稳定性,这些原生附加模组每次都需要为Node.js主要释出版本重新编译,经官方评估,这样的影响直接或间接影响了大约30%的模组生态系。
因此为降低开发人员的软体维护成本,Node.js推出下一代稳定ABI的Node.js API,或是称为N-API,目的透过为JavaScript虚拟机器的原生API,提供稳定ABI抽象层来解决这个问题。因此现在原生模组只要编译一次,便能在所有的Node.js版本执行。
这样将促进虚拟机器的多样性,Arunesh Chandra表示,虚拟机器的多样性将为Node.js原生模组生态系释放更多开发人员的生产力。由于Node.js在物联网应用越趋普及,不同虚拟机器供应商透过支持标准稳定的ABI,不只能让开发者灵活地使用该平台,虚拟机器也能为特定平台作最佳化。
V8引擎带来执行性能提升,Npm 6释出
Google V8引擎改进了Promise、非同步产生器、非同步叠代以及阵列性能,这也让Node.js直接得到了性能改善的好处。而Google V8团队也持续改进即将非同步函数以及非同步产生器的性能,开发者可以持续关注。
而Node.js 10.0.0释出附带套件管理器Npm 5.6.x,不过Npm版本6也已经释出,在Node.js 10.x的更新周期中,将会替换Npm到最新版本。Npm 6更新功能也是侧重于安全性、稳定性和性能改进,比起之前的版本,性能提升高达1700%。
免费SSR新加坡节点G口,失效时间2018年4月30日,已上光速
设备数限制 : 50
单线程限速 : 无限制
用户总限速 : 102400 KB/S
禁止的端口 : 无限制
用户总流量 : 无限制
ssr://MTI4LjE5OS4yMTMuMjUwOjEwMDg2OmF1dGhfc2hhMV92NDpjaGFjaGEyMDp0bHMxLjJfdGlja2V0X2F1dGg6TVRBd09EWS8_b2Jmc3BhcmFtPSZyZW1hcmtzPTVyZVk1YTZkNXBDYzU3U2ljR2x1SU9TNGstZVVxT2U5a2VlN25B
设备数限制 : 50
单线程限速 : 无限制
用户总限速 : 102400 KB/S
禁止的端口 : 无限制
用户总流量 : 无限制
ssr://MTI4LjE5OS4yMTMuMjUwOjEwMDg2OmF1dGhfc2hhMV92NDpjaGFjaGEyMDp0bHMxLjJfdGlja2V0X2F1dGg6TVRBd09EWS8_b2Jmc3BhcmFtPSZyZW1hcmtzPTVyZVk1YTZkNXBDYzU3U2ljR2x1SU9TNGstZVVxT2U5a2VlN25B
360 Send is our new product that aims to help users share files between PC and mobile easily. It's FREE and now officially available for download.
Download: https://t.co/TsPEoONRXM
Download: https://t.co/TsPEoONRXM
香港頭條 - HongKong News pinned «360 Send is our new product that aims to help users share files between PC and mobile easily. It's FREE and now officially available for download. Download: https://t.co/TsPEoONRXM»
Safe News
本周一莫斯科约有1万人集会,抗议俄罗斯近期对互联网自由的限制。
俄罗斯当局本月开始封锁流行消息应用Telegram,因为它拒绝将密钥交给其数据加密。
https://wapo.st/2HBY1AB
本周一莫斯科约有1万人集会,抗议俄罗斯近期对互联网自由的限制。
俄罗斯当局本月开始封锁流行消息应用Telegram,因为它拒绝将密钥交给其数据加密。
https://wapo.st/2HBY1AB
共享账号分享
账号类型:spotify
账号形式:email:password
BC1020@yahoo.com.au:l3tm31n
hakimimine2003@gmail.com:hakimi2207
JensFredrik@hotmail.no:Paviliondm4
eelpingu27@gmail.com:Op0438694
mathew42200@gmail.com:peru2006
vincensia_karynn@yahoo.co.id:karynnchang
checkyesalice@hotmail.co.uk:qwerty123
awebb24@zoominternet.net:armdaw24
sven.oberbach@gmx.de:sol123779
hakimimine2003@gmail.com:hakimi2207
hertzman.emily@gmail.com:emily5
rohan715.rp@gmail.com:tenaction
raccoonpack@gmail.com:tinmouse17
gabeortis@gmail.com:carlito23
dawnrepass@hotmail.com:Superstar1
gregoryatem23@gmail.com:Gregory23
davearangat@gmail.com:Iandave08
justincyp@gmail.com:23vcyerm
yannickftw@gmail.com:fc11235813law2
james-nicolenka@hotmail.com:124sammax
tylerstander@gmail.com:tyler1997
antix2g@yahoo.com:spont123
patrickreiner@aol.com:Dirtygirt123
账号类型:spotify
账号形式:email:password
BC1020@yahoo.com.au:l3tm31n
hakimimine2003@gmail.com:hakimi2207
JensFredrik@hotmail.no:Paviliondm4
eelpingu27@gmail.com:Op0438694
mathew42200@gmail.com:peru2006
vincensia_karynn@yahoo.co.id:karynnchang
checkyesalice@hotmail.co.uk:qwerty123
awebb24@zoominternet.net:armdaw24
sven.oberbach@gmx.de:sol123779
hakimimine2003@gmail.com:hakimi2207
hertzman.emily@gmail.com:emily5
rohan715.rp@gmail.com:tenaction
raccoonpack@gmail.com:tinmouse17
gabeortis@gmail.com:carlito23
dawnrepass@hotmail.com:Superstar1
gregoryatem23@gmail.com:Gregory23
davearangat@gmail.com:Iandave08
justincyp@gmail.com:23vcyerm
yannickftw@gmail.com:fc11235813law2
james-nicolenka@hotmail.com:124sammax
tylerstander@gmail.com:tyler1997
antix2g@yahoo.com:spont123
patrickreiner@aol.com:Dirtygirt123
共享账号分享
From: XRAccc
账号类型:spotify
账号形式:email:password
prefu74@gmail.com:74ge1861
yongbom90@hotmail.com:dydqja12
kholme222@gmail.com:RufusK1ng
hermine.abdon@hotmail.com:feykir123
ltefft2234@gmail.com:Teddyt22
ns_lloyd@yahoo.com:Butterfly1
From: XRAccc
账号类型:spotify
账号形式:email:password
prefu74@gmail.com:74ge1861
yongbom90@hotmail.com:dydqja12
kholme222@gmail.com:RufusK1ng
hermine.abdon@hotmail.com:feykir123
ltefft2234@gmail.com:Teddyt22
ns_lloyd@yahoo.com:Butterfly1
Safe News
谷歌已开放.app顶级域名注册
2015年2月25日,Google豪掷2500万美元,打败了12家竞争公司从ICANN手中拍得了顶级域名.app,一举创下域名的最高交易记录。.app是诸多站长非常渴望拥有的域名后缀,因为它可以和应用程序相连接。今天Google正式开放了.app域名的注册,并声称是全球首个需要HTTPS加密的顶级域名。目前大多数网站已经使用HTTPS加密,但是根据Mozilla提供的数据依然有32%的网站并未使用HTTPS对其进行加密。
自北京时间5月2日零点开始至5月7日,用户可以通过谷歌的Early Access Program来注册.app域名。在5月7日之后,.app域名将向GoDaddy, Google Domains或者name.com等网站开放。现在用户可以通过get.app网站来查看你喜欢的域名是否被注册了。
谷歌已开放.app顶级域名注册
2015年2月25日,Google豪掷2500万美元,打败了12家竞争公司从ICANN手中拍得了顶级域名.app,一举创下域名的最高交易记录。.app是诸多站长非常渴望拥有的域名后缀,因为它可以和应用程序相连接。今天Google正式开放了.app域名的注册,并声称是全球首个需要HTTPS加密的顶级域名。目前大多数网站已经使用HTTPS加密,但是根据Mozilla提供的数据依然有32%的网站并未使用HTTPS对其进行加密。
自北京时间5月2日零点开始至5月7日,用户可以通过谷歌的Early Access Program来注册.app域名。在5月7日之后,.app域名将向GoDaddy, Google Domains或者name.com等网站开放。现在用户可以通过get.app网站来查看你喜欢的域名是否被注册了。
Safe News
俄罗斯研究人员发布Drupal远程代码执行漏洞PoC开源 Drupal 安全团队2018年3月28日发布安全公告称,在其内容管理系统软件 (CMS) 中存在一个高危远程代码执行漏洞“Drupalgeddon2”——CVE-2018-7600,攻击者可利用该漏洞完全控制站点。在互联网上,至少有100万个网站正在使用 Drupal CMS。
2018年4月12日,Check Point 和 Dofinity 公司公布了关于该漏洞的完整技术详情。一名俄罗斯研究人员借此在 GitHub 上发布了 PoC 利用代码。就在 PoC 发布后不久,黑客已经开始利用 Drupalgeddon2 漏洞频繁进行网络活动。
Drupalgeddon2 漏洞影响 Drupal 6 ~8 的所有版本,任何访问该网站的访问者理论上都可以通过远程代码执行来获取服务器权限,允许未经身份验证的远程攻击者在默认 Drupal 安装程序上执行恶意代码。
为了解决问题,Drupal 公司随后很快就发布了 Drupal CMS 的更新版本,但未发布该漏洞的技术细节,以便给逾100万个网站预留足够的时间打补丁。
Checkpoint 公司指出,漏洞存在的原因在于 Form API (FAPI) AJAX 请求通过的输入过滤不够。因此,导致攻击者可能将恶意 Payload 注入内部表单结构,从而可能导致 Drupal 在未经用户验证的情况下执行代码。攻击者可利用该漏洞完全控制 Drupal 客户的网站。
建议仍在运行 Drupal漏洞版本的站点管理员尽快将 CMS 更新至 Drupal 7.58 或 Drupal 8.5.1 ,以修复漏洞,避免被利用
俄罗斯研究人员发布Drupal远程代码执行漏洞PoC开源 Drupal 安全团队2018年3月28日发布安全公告称,在其内容管理系统软件 (CMS) 中存在一个高危远程代码执行漏洞“Drupalgeddon2”——CVE-2018-7600,攻击者可利用该漏洞完全控制站点。在互联网上,至少有100万个网站正在使用 Drupal CMS。
2018年4月12日,Check Point 和 Dofinity 公司公布了关于该漏洞的完整技术详情。一名俄罗斯研究人员借此在 GitHub 上发布了 PoC 利用代码。就在 PoC 发布后不久,黑客已经开始利用 Drupalgeddon2 漏洞频繁进行网络活动。
Drupalgeddon2 漏洞影响 Drupal 6 ~8 的所有版本,任何访问该网站的访问者理论上都可以通过远程代码执行来获取服务器权限,允许未经身份验证的远程攻击者在默认 Drupal 安装程序上执行恶意代码。
为了解决问题,Drupal 公司随后很快就发布了 Drupal CMS 的更新版本,但未发布该漏洞的技术细节,以便给逾100万个网站预留足够的时间打补丁。
Checkpoint 公司指出,漏洞存在的原因在于 Form API (FAPI) AJAX 请求通过的输入过滤不够。因此,导致攻击者可能将恶意 Payload 注入内部表单结构,从而可能导致 Drupal 在未经用户验证的情况下执行代码。攻击者可利用该漏洞完全控制 Drupal 客户的网站。
建议仍在运行 Drupal漏洞版本的站点管理员尽快将 CMS 更新至 Drupal 7.58 或 Drupal 8.5.1 ,以修复漏洞,避免被利用
News hotspot
工信部公布IPv6部署计划 IPv4即将取消
5月2日,工信部发布了关于落实《推进互联网协议第六版(IPv6)规模部署行动计划》通知,将从六个方面21项举措落实IPv6计划。主要包括以下六个方面:
IPv6协议网络图
1.实施LTE网络端到端IPv6改造;
2.加快固定网络基础设施IPv6改造;
3.推进应用基础设施IPv6改造;
4.开展政府网站IPv6改造与工业互联网应用;
5.强化IPv6网络安全保障;
6.落实配套保障措施。
从《推进互联网协议第六版(IPv6)规模部署行动计划》显示,2018年底的国内IPv6活跃用户会达到2亿,2020年底达到5亿,而2025年底中国的IP6v规模将达到世界第一。
据了解,TCP/IP协议是互联网发展的基石,其中IP是指网络层协议,会规范互联网中分组信息的交换与选路,目前采用的依然是IPv4协议,互联网地址长度为32位,可以提供43亿个IP地址进行使用。
IPv6是IP地址的第六版网络协议,诞生于1999年。最大的特点是互联网地址长度达到128bit,可以提供2的128次方的IP地址,即使将地球上所有沙子都变成晶体管,其地址数量足够可以为大量电子设备使用。另外,该协议还将与5G等技术一起使用,会快速推动移动互联网、物联网、工业互联网、云计算、大数据和人工智能等新兴业态的发展。
工信部公布IPv6部署计划 IPv4即将取消
5月2日,工信部发布了关于落实《推进互联网协议第六版(IPv6)规模部署行动计划》通知,将从六个方面21项举措落实IPv6计划。主要包括以下六个方面:
IPv6协议网络图
1.实施LTE网络端到端IPv6改造;
2.加快固定网络基础设施IPv6改造;
3.推进应用基础设施IPv6改造;
4.开展政府网站IPv6改造与工业互联网应用;
5.强化IPv6网络安全保障;
6.落实配套保障措施。
从《推进互联网协议第六版(IPv6)规模部署行动计划》显示,2018年底的国内IPv6活跃用户会达到2亿,2020年底达到5亿,而2025年底中国的IP6v规模将达到世界第一。
据了解,TCP/IP协议是互联网发展的基石,其中IP是指网络层协议,会规范互联网中分组信息的交换与选路,目前采用的依然是IPv4协议,互联网地址长度为32位,可以提供43亿个IP地址进行使用。
IPv6是IP地址的第六版网络协议,诞生于1999年。最大的特点是互联网地址长度达到128bit,可以提供2的128次方的IP地址,即使将地球上所有沙子都变成晶体管,其地址数量足够可以为大量电子设备使用。另外,该协议还将与5G等技术一起使用,会快速推动移动互联网、物联网、工业互联网、云计算、大数据和人工智能等新兴业态的发展。
Safe News
iOS Trustjacking – 一个很危险的iOS漏洞
4月16日的RAS大会上,研究人员Adi Sharabani和Roy Iarchy公布了一个新的iOS漏洞,该漏洞属于"多设备攻击"的一种。
简介
对iphone用户来说,最大的噩梦应该就是设备永久被获取控制权,包括记录和控制所有的活动。本文讲述一种新的漏洞叫做Trustjacking,攻击者利用该漏洞可以完成上面描述的攻击,并获取iOS设备永久控制权。
该漏洞利用一个iOS的功能叫做iTunes Wi-Fi sync,这允许用户在没有物理连接到电脑的情况下管理iOS设备。当iOS设备和电脑连接在同一网络中时,只要iOS设备所有者点击一下,攻击者就可以永久获取设备的控制权。
相关漏洞和攻击
过去也有利用未授权的USB连接来从手机设备中窃取隐私信息的文章。
在iOS 7之前,iOS设备连接到计算机上不需要设备所有者授权的。
Juice jcaking用这种特征来从设备中窃取敏感信息,并安装恶意软件到受害者设备上。随后,Apple在允许同步操作之前增加了弹窗提示,通过要求用户授权来解决该问题。
Videojacking使用Apple连接器可被用作HDMI连接的特性,当iOS设备连接到恶意的充电器时,就可以对iOS设备录屏。
上面提到的攻击利用中,攻击者都可以访问用户敏感信息,而主要的限制就在于只有当设备与恶意硬件物理连接的时候才可能实现,一旦断开连接,攻击就停止了。
Trustjacking则不然,攻击者对设备获取持久的控制权,即使设备与恶意硬件断开连接,攻击仍然可以进行。为了了解其工作原理,先看一下什么是iTunes Wi-Fi sync。
iTunes Wi-Fi同步
iTunes Wi-Fi同步是iOS广受好评的一个功能,iOS设备利用该特征可以在不与计算机物理相连接的前提下与iTunes进行同步。
开启iTunes Wi-Fi同步首先需要与计算机物理相连,然后选择开启通过Wi-Fi与iOS设备同步的选项。
Trustjacking – 工作原理
当iOS设备与计算机相连,用户会被询问是否信任连接的计算机。如果选择信任计算机,那么就可以通过标准的iTunes APIs与iOS设备通信。
这样,计算机就可以在不需要用户额外确认和没有其他提示的情况下访问设备上的照片,执行备份,安装应用等等。一旦激活(开启)了“iTunes Wi-Fi sync”功能,即使计算机与iOS设备断开连接,只要都连在同一个网络,那么设备之间的通信就可以继续。还有一点就是,开启iTunes Wi-Fi sync不需要受害者的同意,可以完全在计算机端执行完成。
通过远程不断请求截屏或录屏都可以获取设备屏幕的实时流。
除非初始化阶段失败,授权恶意计算机外,没有其他的机制可以防止这种持续的访问。而且,授权计算机在USB断开后继续访问设备也没有向用户发出任何通知。
POC
假设下面的一个场景:受害者将手机连到机场的一个免费充电器上,手机上出现一个弹窗消息,请求受害者同意设备连接。那么同意该请求看起来非常合理,因为受害者想要充电,而该服务看起来就是合法的。而且同意以后也没有其他可疑的事情发生。
攻击流
从用户的角度看,他只是将设备连接到一个充电器或计算机上,而求选择信任它而已。
用户会觉得只有当设备与计算机物理相连的时候才会有可能发生攻击,所以断开连接就可以防止对私有数据的访问。即使设备连接的时间很短,攻击者也足以执行一些步骤来保证当物理连接断开以后,设备上所有的动作都是可见的。
攻击者需要执行下面的步骤:
· 允许设备连接到iTunes;
· 开启iTunes Wi-Fi sync.
恶意软件可以自动化的执行上面的步骤。他们也不需要受害者的任何同意,也不会触发设备上任何的提示产生。一旦这些动作完成,设备就不需要与攻击者的硬件物理相连了。完成这些步骤后,一旦受害者和攻击者连接到同一个网络,攻击者就可以远程控制设备了。
为了查看受害者的屏幕,攻击者需要安装与受害者设备iOS版本相匹配的开发者镜像,然后重复截屏,并实时查看设备屏幕。安装开发者镜像可以通过Wi-Fi完成,而不需要再与设备物理相连了。虽然重启可能会移除设备的开发者镜像,但黑客可以继续访问和安装。
进阶
除了远程查看受害者设备的屏幕,Trustjacking还允许攻击者做点别的。
另一个攻击者可以利用的功能是iTunes备份。通过创建设备内容的备份,攻击者可以获取很多的私人信息,比如:
· 照片;
· SMS,历史记录;
· APP数据等。
为了获取信息,需要对iTunes备份进行分段理解。备份文件含有许多的元数据文件和备份文件本身。每个文件都保存在SHA1路径下(%domain%-%relativePath%),目录名是哈希值的前两个16进制字母。比如,一张路径为
Media/DCIM/100APPLE/IMG_0059.JPG的照片会被保存在
b1/b12bae0603700bdf7719c3a65b22ca2f12715d37目录下,其中b12bae…就是
CameraRollDomain-Media/DCIM/100APPLE/IMG_0059.JPG的哈希值。所有这些备份文件都在Manifest.db文件中有说明,Manifest.db是SQLite3 数据库文件,可以通过下面的方式进行查询:
`SELECT * FROM Files WHERE relativePath like '%Media/DCIM%' ORDER BY relativePath;
Settings > General > Reset > Reset Location & Privacy
上面的查询命令会列出所有备份的照片,包括其哈希值。读取SMS / iMessage需要对另一个SQLite3数据库进行分段,该数据库位于
3d/3d0d7e5fb2ce288813306e4d4636395e047a3d28(SHA1的哈希值是与
HomeDomain-Library/SMS/sms.db文件相同的)。
iOS Trustjacking – 备份和恢复利用
攻击者还可以通过访问设备来安装恶意应用,甚至用修改的应用来替换已经安装好的APP,不仅能在用户使用APP时进行监控还可以利用一些私有的API来监控用户的其他活动。下面是视频是教我们如何识别设备的APP并用修改过的APP进行替换。
iOS Trustjacking – 替换APP利用
攻击只局限于Wi-Fi吗?
上面描述的工具需要被攻击的设备和发起攻击的计算机连接到同一个网络。这意味着被攻击的设备和连接的Wi-Fi网络的距离要近一些,但这不是一个必须项。利用VPN服务器将设备与攻击者的计算机连接到同一个网络,就解决了连接网络的距离服务,并可以实现随时发起攻击的目的。
iOS 11加入新机制
Apple在了解到这个漏洞后,在iOS 11中加入一个机制来确保只有设备的所有者才能选择信任一个与之相连的新的计算机。这个过程是通过在选择授权或信任计算机时加入输入密码来完成的。
测试结果显示,用户被告知“该授权只与设备与计算机相连相关”,这让用户相信与设备断开连接确保了没有人可以访问设备上的隐私数据。
所以说苹果在iOS 11中采取的解决办法并没有解决Trustjacking的本质问题。一旦用户选择信任一个被黑的计算机,之后的漏洞利用过程就和上面描述的一样了。
如果攻击者选择感染受害者的计算机而不是使用恶意充电器会怎么样呢?
恶意充电器攻击流的一个限制是攻击时间段的问题,而如果攻击者的计算机变成了恶意单元,那么攻击时间段就变大了。Trustjacking的最大功效发生了设备拥有者的计算机被恶意软件入侵。这样的话,攻击者的计算机一般都与iOS设备在一个比较近的距离。
解决方法
截止目前,还没有办法可以列出所有的可信计算机列表,然后选择行地去撤销。要确保安全,最好的办法是清除所有的可信计算机列表,清除后,下次iOS设备与计算机相连时就需要重新授权了。
为了保护设备备份,避免使用Trustjacking攻击获取额外的用户隐私信息,可以在iTunes中开启加密备份并且选择强密码。
在手机上安装一些安全防护软件也可以避免一些攻击。
对应用开发者来说,避免在iTunes备份中备份隐私数据可以减小数据被窃取的风险。
iOS Trustjacking – 一个很危险的iOS漏洞
4月16日的RAS大会上,研究人员Adi Sharabani和Roy Iarchy公布了一个新的iOS漏洞,该漏洞属于"多设备攻击"的一种。
简介
对iphone用户来说,最大的噩梦应该就是设备永久被获取控制权,包括记录和控制所有的活动。本文讲述一种新的漏洞叫做Trustjacking,攻击者利用该漏洞可以完成上面描述的攻击,并获取iOS设备永久控制权。
该漏洞利用一个iOS的功能叫做iTunes Wi-Fi sync,这允许用户在没有物理连接到电脑的情况下管理iOS设备。当iOS设备和电脑连接在同一网络中时,只要iOS设备所有者点击一下,攻击者就可以永久获取设备的控制权。
相关漏洞和攻击
过去也有利用未授权的USB连接来从手机设备中窃取隐私信息的文章。
在iOS 7之前,iOS设备连接到计算机上不需要设备所有者授权的。
Juice jcaking用这种特征来从设备中窃取敏感信息,并安装恶意软件到受害者设备上。随后,Apple在允许同步操作之前增加了弹窗提示,通过要求用户授权来解决该问题。
Videojacking使用Apple连接器可被用作HDMI连接的特性,当iOS设备连接到恶意的充电器时,就可以对iOS设备录屏。
上面提到的攻击利用中,攻击者都可以访问用户敏感信息,而主要的限制就在于只有当设备与恶意硬件物理连接的时候才可能实现,一旦断开连接,攻击就停止了。
Trustjacking则不然,攻击者对设备获取持久的控制权,即使设备与恶意硬件断开连接,攻击仍然可以进行。为了了解其工作原理,先看一下什么是iTunes Wi-Fi sync。
iTunes Wi-Fi同步
iTunes Wi-Fi同步是iOS广受好评的一个功能,iOS设备利用该特征可以在不与计算机物理相连接的前提下与iTunes进行同步。
开启iTunes Wi-Fi同步首先需要与计算机物理相连,然后选择开启通过Wi-Fi与iOS设备同步的选项。
Trustjacking – 工作原理
当iOS设备与计算机相连,用户会被询问是否信任连接的计算机。如果选择信任计算机,那么就可以通过标准的iTunes APIs与iOS设备通信。
这样,计算机就可以在不需要用户额外确认和没有其他提示的情况下访问设备上的照片,执行备份,安装应用等等。一旦激活(开启)了“iTunes Wi-Fi sync”功能,即使计算机与iOS设备断开连接,只要都连在同一个网络,那么设备之间的通信就可以继续。还有一点就是,开启iTunes Wi-Fi sync不需要受害者的同意,可以完全在计算机端执行完成。
通过远程不断请求截屏或录屏都可以获取设备屏幕的实时流。
除非初始化阶段失败,授权恶意计算机外,没有其他的机制可以防止这种持续的访问。而且,授权计算机在USB断开后继续访问设备也没有向用户发出任何通知。
POC
假设下面的一个场景:受害者将手机连到机场的一个免费充电器上,手机上出现一个弹窗消息,请求受害者同意设备连接。那么同意该请求看起来非常合理,因为受害者想要充电,而该服务看起来就是合法的。而且同意以后也没有其他可疑的事情发生。
攻击流
从用户的角度看,他只是将设备连接到一个充电器或计算机上,而求选择信任它而已。
用户会觉得只有当设备与计算机物理相连的时候才会有可能发生攻击,所以断开连接就可以防止对私有数据的访问。即使设备连接的时间很短,攻击者也足以执行一些步骤来保证当物理连接断开以后,设备上所有的动作都是可见的。
攻击者需要执行下面的步骤:
· 允许设备连接到iTunes;
· 开启iTunes Wi-Fi sync.
恶意软件可以自动化的执行上面的步骤。他们也不需要受害者的任何同意,也不会触发设备上任何的提示产生。一旦这些动作完成,设备就不需要与攻击者的硬件物理相连了。完成这些步骤后,一旦受害者和攻击者连接到同一个网络,攻击者就可以远程控制设备了。
为了查看受害者的屏幕,攻击者需要安装与受害者设备iOS版本相匹配的开发者镜像,然后重复截屏,并实时查看设备屏幕。安装开发者镜像可以通过Wi-Fi完成,而不需要再与设备物理相连了。虽然重启可能会移除设备的开发者镜像,但黑客可以继续访问和安装。
进阶
除了远程查看受害者设备的屏幕,Trustjacking还允许攻击者做点别的。
另一个攻击者可以利用的功能是iTunes备份。通过创建设备内容的备份,攻击者可以获取很多的私人信息,比如:
· 照片;
· SMS,历史记录;
· APP数据等。
为了获取信息,需要对iTunes备份进行分段理解。备份文件含有许多的元数据文件和备份文件本身。每个文件都保存在SHA1路径下(%domain%-%relativePath%),目录名是哈希值的前两个16进制字母。比如,一张路径为
Media/DCIM/100APPLE/IMG_0059.JPG的照片会被保存在
b1/b12bae0603700bdf7719c3a65b22ca2f12715d37目录下,其中b12bae…就是
CameraRollDomain-Media/DCIM/100APPLE/IMG_0059.JPG的哈希值。所有这些备份文件都在Manifest.db文件中有说明,Manifest.db是SQLite3 数据库文件,可以通过下面的方式进行查询:
`SELECT * FROM Files WHERE relativePath like '%Media/DCIM%' ORDER BY relativePath;
Settings > General > Reset > Reset Location & Privacy
上面的查询命令会列出所有备份的照片,包括其哈希值。读取SMS / iMessage需要对另一个SQLite3数据库进行分段,该数据库位于
3d/3d0d7e5fb2ce288813306e4d4636395e047a3d28(SHA1的哈希值是与
HomeDomain-Library/SMS/sms.db文件相同的)。
iOS Trustjacking – 备份和恢复利用
攻击者还可以通过访问设备来安装恶意应用,甚至用修改的应用来替换已经安装好的APP,不仅能在用户使用APP时进行监控还可以利用一些私有的API来监控用户的其他活动。下面是视频是教我们如何识别设备的APP并用修改过的APP进行替换。
iOS Trustjacking – 替换APP利用
攻击只局限于Wi-Fi吗?
上面描述的工具需要被攻击的设备和发起攻击的计算机连接到同一个网络。这意味着被攻击的设备和连接的Wi-Fi网络的距离要近一些,但这不是一个必须项。利用VPN服务器将设备与攻击者的计算机连接到同一个网络,就解决了连接网络的距离服务,并可以实现随时发起攻击的目的。
iOS 11加入新机制
Apple在了解到这个漏洞后,在iOS 11中加入一个机制来确保只有设备的所有者才能选择信任一个与之相连的新的计算机。这个过程是通过在选择授权或信任计算机时加入输入密码来完成的。
测试结果显示,用户被告知“该授权只与设备与计算机相连相关”,这让用户相信与设备断开连接确保了没有人可以访问设备上的隐私数据。
所以说苹果在iOS 11中采取的解决办法并没有解决Trustjacking的本质问题。一旦用户选择信任一个被黑的计算机,之后的漏洞利用过程就和上面描述的一样了。
如果攻击者选择感染受害者的计算机而不是使用恶意充电器会怎么样呢?
恶意充电器攻击流的一个限制是攻击时间段的问题,而如果攻击者的计算机变成了恶意单元,那么攻击时间段就变大了。Trustjacking的最大功效发生了设备拥有者的计算机被恶意软件入侵。这样的话,攻击者的计算机一般都与iOS设备在一个比较近的距离。
解决方法
截止目前,还没有办法可以列出所有的可信计算机列表,然后选择行地去撤销。要确保安全,最好的办法是清除所有的可信计算机列表,清除后,下次iOS设备与计算机相连时就需要重新授权了。
为了保护设备备份,避免使用Trustjacking攻击获取额外的用户隐私信息,可以在iTunes中开启加密备份并且选择强密码。
在手机上安装一些安全防护软件也可以避免一些攻击。
对应用开发者来说,避免在iTunes备份中备份隐私数据可以减小数据被窃取的风险。
香港頭條 - HongKong News pinned «Safe News iOS Trustjacking – 一个很危险的iOS漏洞 4月16日的RAS大会上,研究人员Adi Sharabani和Roy Iarchy公布了一个新的iOS漏洞,该漏洞属于"多设备攻击"的一种。 简介 对iphone用户来说,最大的噩梦应该就是设备永久被获取控制权,包括记录和控制所有的活动。本文讲述一种新的漏洞叫做Trustjacking,攻击者利用该漏洞可以完成上面描述的攻击,并获取iOS设备永久控制权。 该漏洞利用一个iOS的功能叫做iTunes…»
Surge iOS 中国区更新与重新安装操作指南
由于 Surge iOS 被 Apple 从中国区下架,使得中国区 App Store 无法下载或者更新 Surge。需要使用一些变通的方法进行更新
A. 如果使用的是 iOS 11 且安装有旧版本的 Surge(TestFlight 版本不适用)
进入 系统设置 -> 通用 -> iPhone 存储空间,找到 Surge,点击蓝色的卸载应用按钮,然后点击重新安装应用,即可更新到最新版本
注意:部分用户反馈点击卸载后无法重新安装,请谨慎使用该方法。如果出现问题可以尝试登出 App Store 重新登录。
B. 使用 https://imazing.com 备份 IPA,然后在新手机上安装。(新手机需确保登录了正确的 Apple ID)
C. 使用 iMazing.app 进行下载安装(https://imazing.com)
1. 下载安装 iMazing(2.5.3 以上版本),试用即可
2. 连接手机
3. 在左侧找到 Apps
4. 点击 Manage Apps 按钮
5. 等待加载应用列表,失败的话可能需要使用 Surge Mac Enhanced Mode 走代理
6. 确认右上角的 Apple ID 为 Surge 的购买 ID,不是的话选择 Log Out 重新登录
7. 选择 Add from App Store
8. 搜索关键字 surge legacy 下载并安装(Windows 版本可能搜索不到,请换用 Mac 版本的 iMazing)
D. 转区下载
请修改 App Store 账号区域为加拿大(Canada),支付方式选为 None,然后搜索 Surge,进行下载更新,安装完毕之后根据需求可以再转回中国区。
如果遇到障碍,可以尝试按该方案操作:https://diveng.io/use-the-icloud-control-panel-3-to-change-the-apple-id-country-or-region.html
转区 FAQ:
- 美国等一些区域转区时一定要使用对应区域的信用卡,建议选择加拿大。
- 如果操作转区时支付方式没有 None 选项,需要使用全局代理或 VPN 进行转区。(IP 为中国区外即可,不一定非要是目标区域)
- 有 Apple Music 订阅时转区可能受到障碍,需要联系人工客服解决。
- 账户有余额时不能转区,小金额可以联系人工客服直接清零。
- 如果转区后依然搜索不到 Surge,或者显示需要购买,请注销 App Store 账号然后重新登录。
由于 Surge iOS 被 Apple 从中国区下架,使得中国区 App Store 无法下载或者更新 Surge。需要使用一些变通的方法进行更新
A. 如果使用的是 iOS 11 且安装有旧版本的 Surge(TestFlight 版本不适用)
进入 系统设置 -> 通用 -> iPhone 存储空间,找到 Surge,点击蓝色的卸载应用按钮,然后点击重新安装应用,即可更新到最新版本
注意:部分用户反馈点击卸载后无法重新安装,请谨慎使用该方法。如果出现问题可以尝试登出 App Store 重新登录。
B. 使用 https://imazing.com 备份 IPA,然后在新手机上安装。(新手机需确保登录了正确的 Apple ID)
C. 使用 iMazing.app 进行下载安装(https://imazing.com)
1. 下载安装 iMazing(2.5.3 以上版本),试用即可
2. 连接手机
3. 在左侧找到 Apps
4. 点击 Manage Apps 按钮
5. 等待加载应用列表,失败的话可能需要使用 Surge Mac Enhanced Mode 走代理
6. 确认右上角的 Apple ID 为 Surge 的购买 ID,不是的话选择 Log Out 重新登录
7. 选择 Add from App Store
8. 搜索关键字 surge legacy 下载并安装(Windows 版本可能搜索不到,请换用 Mac 版本的 iMazing)
D. 转区下载
请修改 App Store 账号区域为加拿大(Canada),支付方式选为 None,然后搜索 Surge,进行下载更新,安装完毕之后根据需求可以再转回中国区。
如果遇到障碍,可以尝试按该方案操作:https://diveng.io/use-the-icloud-control-panel-3-to-change-the-apple-id-country-or-region.html
转区 FAQ:
- 美国等一些区域转区时一定要使用对应区域的信用卡,建议选择加拿大。
- 如果操作转区时支付方式没有 None 选项,需要使用全局代理或 VPN 进行转区。(IP 为中国区外即可,不一定非要是目标区域)
- 有 Apple Music 订阅时转区可能受到障碍,需要联系人工客服解决。
- 账户有余额时不能转区,小金额可以联系人工客服直接清零。
- 如果转区后依然搜索不到 Surge,或者显示需要购买,请注销 App Store 账号然后重新登录。
Imazing
iMazing | iPhone, iPad & iPod Manager for Mac & PC
iMazing lets you transfer music, files, messages, apps and more from any iPhone, iPad, or iPod to a computer, Mac or PC. Manage and backup your iOS device simply without iTunes. (was DiskAid)