Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15724 篇
已收录公众号数量:90 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
iOS 13 Bug?慎用第三方键盘
本文来自公众号:MottoIN   2019.09.27 14:55:28



作为一个改进版本,iOS 13的升级更多是体现在对iOS 12的完善。尽管iOS 13带来了一系列的改进,其中包括广受欢迎的全系统暗黑系统。



在本周早些时候发布iOS 13和iPadOS之后,苹果公司发布了漏洞预警,警告iPhone和iPad用户未修复的安全漏洞会影响第三方键盘应用程序。


1
概览


在iOS设备上,第三方键盘扩展可以完全独立运行,而无需访问外部服务,因此,除非用户授予“完全访问”权限以通过网络访问启用某些其他功能,否则禁止存储键入的内容。



然而,在简短的预警通知中,苹果公司表示iOS中13 iPadOS未打补丁的问题,可能会允许第三方键盘应用程序授予自己“完全访问”权限来收集用户的输入信息。


值得注意的是,iOS 13的这个漏洞不会影响iOS自带的键盘,以及不授予“完全访问”权限的第三方键盘。



相反,该漏洞仅影响在iPhone或iPad上安装的第三方键盘应用程序(例如流行的Gboard,Grammarly和Swiftkey)的用户,这些应用程序不同之处在于其请求用户“完全访问”权限。拥有完全访问权限,这些应用程序开发人员可以捕获所有击键数据以及用户键入的所有内容,而部分第三方键盘应用程序更是会进一步对外泄露这些数据。


用户可通过打开“设置”,然后转到“常规”>“键盘”以查看用户安装的第三方键盘。


苹果公司已经声明,其已经在致力于推出解决此漏洞的修补程序,并计划在即将发布的软件更新中发布。


在Apple提出修复程序之前,安全起见,用户可以暂时从设备上卸载所有第三方键盘,从而避免信息。


2
iOS 13漏洞频出


iOS 13.1推出后,不少iPhone用户都表示“好顺畅”,除了部分App,iOS 13.1几乎已解决了所有iOS 13问题。但截至目前,iOS 13已经被曝出了几大漏洞。


9月24日,据国外媒体Neowin引述Reddit论坛上多名用户的反馈称,当他们的iPhone升级为iOS 13之后,添加信用卡信息时,用户会发现保存到他们个人资料中的信息并不是自己的,而是来自一个陌生人的。信息包括了姓名、账单地址以及信用卡号码的最后四位数字,这让他们面临着严重的风险。


本月早些时间,iOS 13还被曝出不解锁就能获取通讯录信息。一位名叫Jose Rodriguez的安全研究人员,又在一段YouTube视频中演示了如何利用VoiceOver和Siri的漏洞,甚至可以在不解锁iPhone的情况下,不受限制地访问存储在设备上的联系人名单。苹果公司表示这个漏洞属实,但是在正式发布之前就已经被修复。