中国邮箱网讯 7月25日消息钥匙串老是要验证,据安全公司Longterm Security强调,一个未被报告的 iOS 安全漏洞破坏了 iCloud 的端到端加密功能,并且可能容许攻击者盗取密码,信用卡和任何的其它文件信息。
iCloud 钥匙串可让用户在所有设备上储存密码和信用卡号,而 iCloud 钥匙串同步功能则容许用户在设备之间安全地共享此信息。Longterm Security 的联合创始人 Alex Radocea 在一篇博文中写道:安全漏洞在 iCloud 钥匙串同步的自定义 Off-the-Record(OTR)中被发觉,
iCloud 钥匙串的 OTR 加密合同使用秘钥验证来保护用户的设备,确保信息可以在多个设备之间安全传递。Radocea 能够通过中间人攻击来绕开签名验证过程。他也能拦截设备流量钥匙串老是要验证,修改 OTR 数据包,然后获得一个无效的签名。
Radocea 表示被发觉的安全漏洞正是这些端到端加密系统中的执行问题的技巧。不过万幸的是,这个漏洞早已在 iOS 10.3中被修补了,这也再度证明了更新设备至最新系统的重要性。
