當前位置:
首頁 > 科技 > macOS被曝新漏洞,黑客可直接繞開系統安全警告

macOS被曝新漏洞,黑客可直接繞開系統安全警告

圖片來源@視覺中國

macOS為了避免電腦中的秘密信息遭到黑客竊取,當一款應用程序試圖訪問敏感數據或敏感功能時,系統就會讓用戶自己選擇「允許」還是「拒絕」,這相當於安排了一個檢查點,把惡意軟體拒之門外,讓無辜的程序得到想要的信息。

但美國國家安全局(NSA)前僱員、著名Mac黑客帕特里克·瓦爾德在上周日舉行的DefCon黑客大會上,計劃展示一組針對macOS系統的自動化攻擊,可以通過所謂的「合成點擊」(synthetic clicks)幫助惡意軟體繞過系統封鎖。

「用戶界面是唯一一個故障點。」 目前擔任Digita Security安全研究員的瓦爾德說,「如果你有辦法合成與這些警告信息的互動,那就掌握了一種強大而通用的方法,可以繞過所有的安全機制。」macOS本身包含一項功能,可以讓AppleScript等程序生成「合成點擊」,也就是由程序而非人類手指生成的滑鼠點擊動作。這功能設置是為了能幫助殘疾人使用的工具實現各種功能。並且,為了避免惡意軟體濫用這些程序化的點擊,蘋果在一些敏感情況下禁止使用該功能點擊「允許」按鈕。

但瓦爾德卻發現,該功能使他的惡意軟體測試代碼可以像人類一樣輕而易舉通過點擊獲取許可權。由此,黑客可直接繞開系統安全警告,訪問敏感數據或敏感功能。在測試中,macOS未能阻止該功能提取用戶聯繫人、獲取日程表、閱讀經緯度信息。他的惡意軟體測試代碼可以像人類一樣輕而易舉通過點擊獲取許可權。

據了解,瓦爾德的攻擊方式並不會在用戶的電腦裡面為黑客提供立足點,只是幫助黑客的惡意軟體在已經被感染的設備上滲透安全層。但瓦爾德表示,這仍然可以成為一種強大的工具,幫助技術高超的攻擊者悄無聲息地竊取更多數據,或者更加深入地控制他們已經通過木馬程序或其他技術入侵的電腦。

值得注意的是,這種「合成點擊」過程仍然會被用戶看見,但瓦爾德指出,惡意軟體可以等到系統出現不活躍信號時再行動,從而避免被用戶發現。

蘋果並未對此置評。瓦爾德也承認,他並未在DefCon大會之前向蘋果披露此項研究的詳細信息。

8月13日消息,特斯拉對於公司首席執行官埃隆·馬斯克提議將公司私有化一事的處理以及未能及時披露事實的做法引發了大眾對於公司管理上的擔憂,也招致了大家對於企業使用社交媒體方式的疑惑。證券律師表示暫且不說馬斯克是否在誤導大家,他這次宣布消息確實是不走常規路線。此外特斯拉也沒能及時說明情況,這也證實了公司管理上存在疏漏。這不由讓大眾開始思考企業利用社交媒體來公布影響市場的消息是否合適。密歇根大學的法律學教授Gabriel Rauterberg 表示:「管理層收購或是其他私有化交易早就存在管理層和公共股東之間信息不對稱的問題。」

8月13日消息,今年早些時候,美國著名維權人士拉爾夫·納德爾(Ralph Nader)發表了一封給蘋果CEO蒂姆·庫克(Tim Cook)的公開信,對蘋果1000億美元股票回購計劃提出批評。現在,納德爾又發聲了,認為蘋果應當把「巨額資金」用於包括提高供應鏈員工薪酬在內的一系列事務。周末在接受NPR(美國國家公共電台)採訪時,納德爾解釋說蘋果不應當回購股票,而是將資金用於增加員工數量等事務。在談到蘋果把資金用於股票回購時,納德爾說,「它本可以將資金用於增加員工數量,用於增加退休基金。」納德爾稱,蘋果的資金本應有更好的用途,例如改進對舊手機的回收、加大研發力度、增加對股東的分紅。雖然承認蘋果已經在改善工作環境和改進產品回收方面做了大量工作,但納德爾稱,蘋果還有更多工作可以做。

8月13日消息,攜程方面表示,由於出現土耳其里拉下跌造成的匯率差價,攜程已關閉了里拉支付。網路有傳言稱在攜程頁面用土耳其里拉支付購買南航機票,再從南航微信渠道退票,可通過里拉暴跌的差價獲益。傳言稱,100萬元購票款可以退出117萬元人民幣。對於是否是人為利用該漏洞進行大規模匯率差套利,攜程方面暫未回應,表示稍後會公布該事件更詳盡信息。

8月13日消息,據韓國《經濟時報》報道,由於銷量大跌且勞動力成本上升,三星電子公司正考慮暫停中國其中一個智能手機工廠的運營。報道稱,三星今年可能會停止天津三星通信技術有限公司的手機生產。周一,這家全球最大的智能手機製造商表示關於天津工廠的命運,公司目前還沒有定論。該公司在給路透社的一份聲明中表示:「智能手機的整體市場因增長緩慢而面臨困境。三星電子的天津電信企業將致力於提高競爭力和效率。」五年前,三星在中國智能手機市場還佔有20%的份額,而今年已降至不到1%,已經被華為、小米和其他中國手機品牌超越。

8月13日消息,WeGame版《怪物獵人:世界》在8月8日下午正式推出,不少國內玩家爭相購買,這次無論是在發售時間、網路環境還是簡體中文語言上,WeGame版遊戲都領先於Steam版,但是今天早晨WeGame平台正式宣布,《怪物獵人:世界》即將下架整改,這個消息也讓玩家們十分震驚遊戲已經在不久前拿到了相關許可,並且作為騰訊WeGame平台的重頭戲進行推廣發售,但是近期政府相關管理部門接到大量舉報,遊戲的部分內容未完全符合政策和法規要求,因此取消遊戲相應的運營資質文件,並將遊戲下架整改,玩家們也將獲得退款等相關補償。

8月13日消息,英媒稱,英國警告說,中國主導下一代超高速移動寬頻技術可能會使英國容易受到「中國間諜」的攻擊。據英國《星期日泰晤士報》網站8月11日報道,英國政府通信總部(英國情報機構之一——本網注)負責人傑里米·弗萊明說,「第5代」移動服務(5G)預計將於明年在英國推出,最終可能成為從無人駕駛汽車到節能型「智慧城市」的基礎。這一技術可能導致「我們更易受到恐怖分子、敵對國家和嚴重刑事犯罪分子攻擊」。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 鈦媒體APP 的精彩文章:

為提升Model 3產能,特斯拉開始在「帳篷」里造車
發現班加羅爾:另一個中國全球化的鏡像

TAG:鈦媒體APP |