苹果曝XCodeGhost漏洞,遭遇重大安全危机

近期国内漏洞平台爆出XCodeGhost事件,引发安全界的广泛讨论。事件起因是非官方渠道发布的Xcode(Apple集成开发环境)编译器被黑客内置了恶意代码,开发人员使用受感染的Xcode编译、生成的应用会被植入后门,收集并上传用户APP信息,并可能泄漏iCloud账号密码,直接危害用户隐私、账号以及资金安全。

1

最新数据显示,AppStore下载量排名前5000应用中有76款被感染,包括不少装机量过亿的明星应用。安全研究人员指出此次事件是Apple遭遇重大的安全危机之一。

"好莱坞艳照门"泄露事件

此次事件已不是首起Apple公共安全事件。在2014年8月"好莱坞艳照门"泄露事件中,约200张大多为好莱坞女性艺人的私人照片(包括裸照等不雅隐私内容)被人盗取并上传至了贴图网站,并被大量用户转发。Apple经过调查后宣布,事件并非由于iCloud安全漏洞导致,而是黑客针对iCloud账号、密码以及安全问题的定向攻击行为,意味着爆出的照片只是泄漏数据的冰山一角。

2

值得注意的是,Apple在泄漏事件之后启用双因素认证(2FA)机制保护iCloud账号安全,启动此项安全功能需要首先为iCloud账户注册手机号码,登录时不仅验证账号、密码,还需要完成短信验证码的二次认证。

3

短信验证码安全吗?

事实上,短信验证码已经成为移动金融保护账号安全的重要手段,手机银行、快捷支付都使用短信验证码验证关键操作,但这种认证方式并不安全,存在三种类型的安全威胁:

(1)短信劫持:黑客通过短信传输渠道或接收端劫持应用;

(2)非授权访问:移动终端丢失或被盗之后可能导致账户资金被盗;

(3)钓鱼:黑客可通过钓鱼网站或电话骗取用户的短信验证码。

4

7月,某个大型国有银行爆出网上交易业务漏洞,黑客操作银行账户执行贵金属交易,通过电话骗取快捷支付的短信验证码,通过快捷支付转走账户资金。

双因素认证(2FA)路在何方?

云安全联盟CSA在《2013年云计算九大安全威胁报告》中指出,云计算安全排名前三的安全威胁分别是数据泄漏、数据损失和账号盗用,2FA用作重要安全机制保护账号安全,提升云计算安全水平。2FA自身安全成为关注重点,一旦2FA机制本身存在安全漏洞则无法有效保护账号安全。2012年国外著名安全厂商的软件令牌(SOTP)实现机制爆出安全漏洞,黑客可以预测令牌值导致安全机制失效。

基于多项移动安全技术专利,通付盾推出移动身份认证HUE(Host Ukey Emulation)方案,使用随身携带、随时随地使用的手机作为身份认证工具,基于云端的设备识别平台精准、唯一识别移动终端的设备号,结合云密码系统生成及认证技术,使得软件OTP接近硬件令牌安全等级。

5

同时,用户通过安全带外(OOB)信道确认交易,模拟二代U盾确认操作,有效防范操作劫持、钓鱼等威胁,兼顾安全性、快捷性以及用户体验等多方面。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-07-18 16:06:13
国内资讯 苹果数据中心落地贵州 是向“新规”妥协?
日前,苹果公司与贵州省政府签订了《贵州省人民政府苹果公司iCloud战略合作框架协议》,苹果方面宣布将花费10亿美元在贵安新区建设iCloud数据中心,这是苹果公司继丹麦之后 <详情>
2017-07-18 11:14:53
国际资讯 巨头发起全球攻势 物联网数据中心大战风起云涌
随着互联网近年来的爆炸式发展,越来越多的美国科技巨头开始厉兵秣马在全球范围内兴建数据中心以更好的服务临近地区用户。苹果、谷歌、英特尔、Facebook等企业都将数据中心 <详情>
2017-07-18 09:16:00
国内资讯 苹果建数据中心不选北上广缘何选贵州?
苹果日前宣布将在贵州建立其在中国首个数据中心,并表示该数据中心的建立符合相关规定,能提高产品和服务的速度可可靠性。作为一家全球性手机厂商,苹果为什么不将数据中心 <详情>
2017-07-17 09:20:00
国际资讯 物联网时代数据中心大战将起 苹果谷歌Facebook谁能笑到最后
随着互联网近年来的爆炸式发展,越来越多的美国科技巨头开始厉兵秣马在全球范围内兴建数据中心以更好的服务临近地区用户。无论是苹果、谷歌(微博)还是英特尔、Facebook等 <详情>
2017-07-12 17:16:08
国际资讯 苹果建设中国数据中心,谷歌呢?
就在今天,苹果公司宣布,将耗资10亿美元在贵州建设其在中国的第一个数据中心。项目落成后,苹果中国用户数据将逐步转移到该数据中心。 <详情>