安全研究人員Aviv Raff上周四(10月2日)披露了兩個(gè)iPhone安全漏洞。這些安全漏洞能夠讓用戶不知不覺地訪問惡意網(wǎng)站。這位安全研究人員在今年7月向蘋果報(bào)告了這些安全漏洞,但是,蘋果沒有使用補(bǔ)丁修復(fù)這些漏洞。因此,他沒有別的選擇智能公開這些安全漏洞。
第一個(gè)安全漏洞存在于iPhone的電子郵件應(yīng)用程序和Safari瀏覽器中。Safari瀏覽器在顯示長的URL地址的時(shí)候一般要截去一部分地址。這樣,惡意人士就可以偽裝惡意的URL地址,讓用戶沒有機(jī)會(huì)看到這種地址。
Raff解釋說,黑客能夠利用這種安全漏洞偽造一個(gè)以可信賴的合法網(wǎng)站地址開頭的很長的URL地址。這個(gè)地址實(shí)際上指向一個(gè)完全不同的網(wǎng)站。iphone用戶只能看到他們熟悉的那部分域名,因此很容易受到欺騙去點(diǎn)擊一個(gè)惡意的鏈接。
Raff說,iPhone的電子郵件應(yīng)用程序中也有一個(gè)安全漏洞。這個(gè)安全漏洞自動(dòng)下載HTML格式電子郵件中有鏈接的圖像。
大多數(shù)電子郵件應(yīng)用程序都允許用戶下載圖像,但是,每一次下載之前都需要用戶的批準(zhǔn)。設(shè)置這個(gè)選項(xiàng)有助于電子郵件用戶保護(hù)自己,防止受到垃圾郵件的干擾,因?yàn)槿绻占舜蜷_垃圾郵件或者下載圖像,垃圾郵件制造者就會(huì)知道。
Raff說,這不是一個(gè)小的安全漏洞。這實(shí)際上是一個(gè)設(shè)計(jì)上的安全漏洞。其它電子郵件客戶端軟件廠商幾年前就修復(fù)了這種安全漏洞。
|
