久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: 零日攻擊讓App Store惡意軟件竊取OS X和iOS的密碼 灰鴿子下載,遠(yuǎn)程控制軟件 [打印本頁]
作者: admin    時(shí)間: 2015-6-18 16:19
標(biāo)題: 零日攻擊讓App Store惡意軟件竊取OS X和iOS的密碼 灰鴿子下載,遠(yuǎn)程控制軟件
零日攻擊讓App Store惡意軟件竊取OS X和iOS的密碼 灰鴿子下載,遠(yuǎn)程控制軟件
研究人員已經(jīng)發(fā)現(xiàn)了一個(gè)利用,可使OS X和iOS應(yīng)用商店的惡意軟件竊取密碼和應(yīng)用程序數(shù)據(jù),以及劫持會(huì)話令牌。
安全研究人員發(fā)現(xiàn)主要缺陷在OS X和一個(gè)iOS,開門惡意軟件。
(, 下載次數(shù): 1011)
利用允許惡意程序,進(jìn)入應(yīng)用商店繞過或忽略沙箱和其他安全保護(hù)抓住別人的密碼應(yīng)用的密鑰鏈項(xiàng),竊取數(shù)據(jù)從其他應(yīng)用程序的私有數(shù)據(jù)存儲(chǔ)、劫持網(wǎng)絡(luò)端口,偽裝成不同的應(yīng)用來攔截某些通訊。
蘋果的iOS應(yīng)用程序存儲(chǔ)和審查過程OS x是應(yīng)該阻止惡意軟件進(jìn)入系統(tǒng)。
如果這堡壘失敗,公司依靠沙盒,可以防止應(yīng)用程序訪問數(shù)據(jù)管理的應(yīng)用程序和文件以外,除了通過非常嚴(yán)格定義的渠道。
然而,6個(gè)研究人員發(fā)現(xiàn)蘋果如何檢查的許多弱點(diǎn),需要應(yīng)用程序檢查存儲(chǔ)應(yīng)用程序和應(yīng)用程序之間的通信。
作者稱之為“未經(jīng)授權(quán)的深度資源訪問,”他們XARA縮寫。
王》的作者之一,印第安納大學(xué)的計(jì)算機(jī)科學(xué)教授,在一次采訪中說,“OS X提供了更豐富的功能。在這種情況下,它變得脆弱!
研究人員說,他們通知蘋果2014年10月,兩次之后,并被告知需要六個(gè)月修復(fù)缺陷。作者還說,蘋果要求2月他們的論文。(我們有一個(gè)請求,蘋果置評(píng)。)這被認(rèn)為是一個(gè)“零日”利用,因?yàn)樗橇⒓赐度霅阂廛浖?但業(yè)內(nèi)實(shí)踐披露。
最小化研究者提出的攻擊向量是什么,任何惡意應(yīng)用程序已進(jìn)入應(yīng)用商店。
對(duì)蘋果來說,不幸的是文章的作者能夠提交并獲得批準(zhǔn)應(yīng)用程序利用這些弱點(diǎn)。批準(zhǔn)后立即刪除他們,因?yàn)樗麄冇兴麄兊淖C據(jù)的概念。
摘要細(xì)節(jié)四個(gè)缺陷,其中三個(gè)是獨(dú)一無二的OS x 電腦控制手機(jī)軟件。
然而,沒有實(shí)質(zhì)性的變化,iOS可以受到一個(gè)或兩個(gè)額外的利用指出如果某些類型的應(yīng)用程序之間或系統(tǒng)數(shù)據(jù)存儲(chǔ)的變化。
研究人員的分析顯示,數(shù)以百計(jì)的免費(fèi)應(yīng)用程序最容易受到這些向量的攻擊,手機(jī)監(jiān)控軟件。
敏捷,developer 1密碼,周三回復(fù)了一篇博客文章,詳細(xì)介紹該公司計(jì)劃做什么,用戶可以做些什么來保護(hù)自己。
xara后果
研究人員發(fā)現(xiàn),大量的應(yīng)用在Mac和iOS應(yīng)用程序商店很容易受到這些攻擊。
四裂紋路徑
本文概述了四個(gè)獨(dú)立的缺點(diǎn):
密碼盜竊通過整個(gè)系統(tǒng)的鑰匙鏈。
容器破裂之間的應(yīng)用程序,應(yīng)用程序可以檢索的內(nèi)容,另一個(gè)沙箱應(yīng)用表面上的私有數(shù)據(jù)存儲(chǔ)。
網(wǎng)絡(luò)套接字?jǐn)r截惡意軟件可以劫持交通流的應(yīng)用程序。
計(jì)劃劫持(iOS和mac OS X),在系統(tǒng)啟動(dòng)一個(gè)應(yīng)用程序從另一個(gè)重定向的方法獲取登錄令牌或其他信息。
密碼竊取。作者們發(fā)現(xiàn),他們可以確定參數(shù)用于任何應(yīng)用程序在鑰匙鏈:“任何密鑰鏈項(xiàng)實(shí)際上是公共的屬性,雖然其內(nèi)容(憑證)保護(hù),”他們寫道。
惡意應(yīng)用程序獲得訪問密鑰鏈項(xiàng)目標(biāo)應(yīng)用程序通過創(chuàng)建一個(gè)條目在受害者之前,或刪除一個(gè)存在。在這兩種情況下,給出了惡意軟件訪問與應(yīng)用程序創(chuàng)建或重新創(chuàng)建條目時(shí)。
…[一]會(huì)攻擊者需要做的是確定[原文如此]一個(gè)現(xiàn)有條目,刪除它從鑰匙鏈和創(chuàng)建一個(gè)新的具有相同屬性的等待目標(biāo)應(yīng)用程序?qū)⑵涿孛堋?br /> 目標(biāo)應(yīng)用程序可以檢查訪問控制列表(ACL)用于限制可以訪問一個(gè)OS X鑰匙扣條目,但這不是必需的或推薦的蘋果。
研究人員攻擊互聯(lián)網(wǎng)帳戶,帳戶數(shù)據(jù)管理系統(tǒng)的首選項(xiàng)面板,包括iCloud密碼,和Chrome瀏覽器的測試,但這項(xiàng)技術(shù)適用于任何應(yīng)用程序。
變化介紹了OS X 10.10.3和10.10.4測試版包括一個(gè)元素用來抵制缺陷,但研究人員發(fā)現(xiàn)它無效。
容器破裂。每一個(gè)沙箱應(yīng)用可能受保護(hù)的數(shù)據(jù)存儲(chǔ)區(qū)域,但是,當(dāng)應(yīng)用程序想要與其他應(yīng)用程序共享數(shù)據(jù),這將打開一個(gè)弱點(diǎn)文章的作者可以利用。
而蘋果強(qiáng)制唯一性的“包標(biāo)識(shí)符”(收購)用于設(shè)置單獨(dú)的數(shù)據(jù)存儲(chǔ)容器在OS X,子系統(tǒng)不幫助相同的要求。一個(gè)惡意程序可以使用一個(gè)子系統(tǒng)本身的報(bào)價(jià)添加到ACL對(duì)另一個(gè)應(yīng)用程序的主要數(shù)據(jù)容器,允許完全訪問,灰鴿子遠(yuǎn)程控制軟件。
研究人員執(zhí)行端到端攻擊Evernote,微信、QQ、資金控制、和其他列在附錄中,應(yīng)用程序通過與這種攻擊嵌入式應(yīng)用程序商店。
例如,從Evernote的集裝箱,我們的攻擊程序,涉及一個(gè)劫持的XPC服務(wù)目標(biāo)應(yīng)用程序的出價(jià),成功地偷走了所有用戶的聯(lián)系和她的私人筆記~/圖書館/集裝箱/ com.evernote.Evernote /賬戶/遠(yuǎn)程控制電腦軟件。
網(wǎng)絡(luò)套接字?jǐn)r截;ヂ(lián)網(wǎng)運(yùn)營使用地址和端口。地址是獨(dú)一無二的一個(gè)給定的電腦或手機(jī)或其他設(shè)備。
端口就像公寓在一個(gè)公寓,每個(gè)都有一個(gè)特定的函數(shù),灰鴿子使用教程,灰鴿子遠(yuǎn)程控制電腦。
在OS X操作系統(tǒng),應(yīng)用程序可以注冊和使用港口溝通與瀏覽器。
提出了1密碼的例子,瀏覽器擴(kuò)展,與主要通信1密碼應(yīng)用。(再一次,1密碼正在努力解決這個(gè)問題,并已offerd一些建議用戶如何防止被攻擊)。
惡意應(yīng)用程序可以劫持一個(gè)港口之前注冊的有針對(duì)性的應(yīng)用,和攔截?cái)?shù)據(jù)。
在1密碼的情況下,惡意軟件(也批準(zhǔn)通過app Store)可以獲取密碼當(dāng)用戶登錄到網(wǎng)絡(luò)賬戶。
調(diào)用這個(gè)方法還允許曾經(jīng)sidejacking:偷令牌用于識(shí)別用戶的瀏覽器會(huì)話期間網(wǎng)站,然后使用該令牌。
計(jì)劃劫持。計(jì)劃是確定一種互聯(lián)網(wǎng)或其他資源并將一些信息傳遞給它的形式的URL。例如,通用web方案“http”(如http://);所有iOS和mac OS X應(yīng)用程序注冊方案與系統(tǒng)允許其他應(yīng)用程序傳遞數(shù)據(jù)或打開一個(gè)應(yīng)用程序中的“深層鏈接”。
然而,蘋果不需要獨(dú)特的計(jì)劃它獨(dú)特的方式包id。任何應(yīng)用程序可以注冊與驗(yàn)證方案除了少數(shù)Apple-specific的。也沒有為一個(gè)應(yīng)用程序來確定,它是通過一個(gè)URL向右app-it不得不依靠操作系統(tǒng)。
文章的作者發(fā)現(xiàn):
計(jì)劃不是列表,它將被綁定到第一個(gè)應(yīng)用程序注冊在OS X上,最后一個(gè)iOS。
研究人員能夠獲取令牌綁定為其他應(yīng)用程序在OS X,很少使用這種方法,和iOS,這是非常常見的,然后sidejack會(huì)話。一個(gè)概念驗(yàn)證他們指出劫持Facebook的方案,以便Pinterest應(yīng)用程序請求一個(gè)令牌,和Facebook響應(yīng)Pinterest應(yīng)用的訪問令牌然后抓住作者的惡意軟件。
應(yīng)用程序開發(fā)人員可以確定錯(cuò)誤的應(yīng)用程序重定向響應(yīng)跑來跑去,Pinterest應(yīng)用會(huì)知道一些這不會(huì)阻止出站劫持了悄無聲息地抓住了令牌的。
驗(yàn)證,那么信任
作者進(jìn)行了一系列的測試,以確定可能的應(yīng)用程序是如何容易受到這些攻擊和推倒1612免費(fèi)應(yīng)用,代表了每個(gè)主要類別中的前100名免費(fèi)應(yīng)用程序。198,使用這個(gè)系統(tǒng)的鑰匙鏈上,應(yīng)該容易,18歲的20個(gè),他們證明可以利用隨機(jī)選擇。(兩個(gè)Google apps是免疫。)
982年計(jì)劃漏洞,Mac的應(yīng)用程序有可能這個(gè)問題基于代碼掃描,200和200隨機(jī)選擇的深入分析,發(fā)現(xiàn)脆弱。
印第安納大學(xué)的王說,顯然有更多的被發(fā)現(xiàn)在iOS,作為唯一的研究仍然是一些深入研究深度的問題。“如果我是一個(gè)強(qiáng)盜,我只想我的目標(biāo)轉(zhuǎn)移到iOS,”他說。
這些利用的短期的解決方案結(jié)合了新的建議和要求,應(yīng)用程序開發(fā)人員,和額外的程序在應(yīng)用程序商店評(píng)論!皯(yīng)用程序商店所能做的就是運(yùn)行類似至少標(biāo)識(shí)別惡意應(yīng)用程序,但至少這些脆弱的目標(biāo),”王說。
他的同事,博士生Luyi興指出,“蘋果應(yīng)該做些事情來執(zhí)行計(jì)劃管理”。然而,興說,這可以歸結(jié)為作為一個(gè)設(shè)計(jì)問題,而不是一個(gè)應(yīng)用程序的實(shí)現(xiàn)問題。在蘋果需要一些深層思考,把一些開發(fā)人員負(fù)擔(dān)的新身份驗(yàn)證和登記手續(xù)進(jìn)入應(yīng)用商店的需求。
因?yàn)槿毕葜荒芾脩?yīng)用程序進(jìn)入應(yīng)用商店,現(xiàn)在提供了一個(gè)防火墻。
作者: ±90°垂直    時(shí)間: 2015-6-18 16:19
灰鴿子遠(yuǎn)控,遠(yuǎn)控灰鴿子.
作者: 袈/fw袈    時(shí)間: 2015-6-19 13:07
太亂了內(nèi)容,真應(yīng)該好好整理了。
作者: hfbhcq    時(shí)間: 2015-6-20 15:33
我看到有個(gè)國內(nèi)根本沒有放的。
作者: 星光音樂會(huì)    時(shí)間: 2015-6-22 08:32
支持支持。。
作者: 雨軒    時(shí)間: 2015-6-25 17:37
翻譯實(shí)在夠差的。
作者: winxq    時(shí)間: 2015-6-26 09:47
每天都更新啊,夠厲害的。
作者: 撒東方紅id    時(shí)間: 2015-6-30 20:57
最好弄點(diǎn)游戲交流交流
作者: liuping123    時(shí)間: 2015-7-2 07:01
學(xué)習(xí)了,收貨不少。
作者: 小傲    時(shí)間: 2015-7-5 11:45
刷帖。。不要封號(hào)啊。。。
作者: 792309046    時(shí)間: 2015-7-5 15:30
看新聞。?葱侣。。。
作者: xuan06    時(shí)間: 2015-7-8 19:16
翻譯實(shí)在夠差的。



歡迎光臨 灰鴿子遠(yuǎn)程控制軟件 (http://www.wzgoogletg.cn/) Powered by Discuz! X3.4