当前位置:中国证券研究网 > 行业研究 > 正文

研究人员发现苹果iOS漏洞

时间:2016-12-03 10:37 来源:中国证券研究网 作者:admin 阅读:
  研究人员发现了一个可被用于绕过苹果公司“激活锁”(Activation Lock)功能的漏洞,这个漏洞能让黑客进入基于最新版本iOS操作系统运行的iPhone和iPad的主显示屏。
 
  该漏洞已至少有两种变体,一种可用于攻破iOS 10.1移动操作系统,另一种则可用于攻破最新的iOS 10.1.1系统。
 
  苹果公司Find My iPhone服务允许用户在设备丢失或失窃时激活iPhone、iPad或iPod的“丢失模式”(Lost Mode),这种模式启动后会自动启用“激活锁”功能,从而令设备无法在未获合法机主许可的情况下被再次激活。当被锁定设备开机时,用户将被提示接入WiFi网络;如果用户选择“其他网络”选项,则必须输入网络的名称,并选择一项安全协议(如WEP和WPA 2等)。另外,用户还必须输入用户名和/或密码,视其选择的不同的安全协议而定。
 
  研究人员发现,问题在于可被输入用户姓名、用户名和密码框的字符数没有限制,因此黑客可在其中输入很长的字段,从而触发崩溃并令设备进入主显示屏。黑客至少可用两种方法触发崩溃,其中第一种涉及到iPad的Smart Case保护套,这种保护套可在打开或关闭时令iPad分别进入“苏醒”或“睡眠”模式。
 
  这个漏洞最早是由印度安全专家赫门特·约瑟夫(Hemant Joseph)发现的,他在从eBay网站上买到一台被锁定的iPad以后开始分析“激活锁”功能。通过开关Smart Case保护套的方式,他成功触发了崩溃并进入了主显示屏。这种方法适用于iOS 10.1系统,但在iOS 10.1.1系统中这个漏洞已被解决。
 
  Vulnerability Lab实验室的研究人员也对此问题进行了分析,并发现利用屏幕旋转和Night Shift功能可在iOS 10.1.1系统中重现这个漏洞。  证监会新闻发言人邓舸12月2日在例行新闻发布会上透露,目前证监会正进一步分析评估“暂不受理和审核措施”的施行效果,进一步研究增强该措施的针对性、有效性,在让涉嫌违法违规主体对自身行为负责的同时,减少其对非涉案行政许可申请人的影响。
 
  所谓“暂不受理和审核措施”,是指证监会依法暂停受理、审核涉案证券中介机构出具的行政许可申请文件。
 
  邓舸介绍,按照依法、从严、全面监管的要求,证监会不断加大监管执法力度。近期,证监会依法查办了一批违法违规案件,对有关违法主体予以立案稽查,其中涉及多家保荐机构、律师事务所。对此,证监会按照《证券发行上市保荐业务管理办法》、《律师事务所从事证券法律业务管理办法》的规定,依法暂停受理、审核这些涉案证券中介机构出具的行政许可申请文件。上述执法行动得到了广大市场主体、投资者的肯定,产生了较好的市场效果。
 
  但也有一些行政许可申请人向证监会反映,其并未涉嫌违法违规,因其聘请的证券中介机构涉案而导致其行政许可申请项目受到限制。
 
  邓舸指出,证监会对此予以高度重视,并组织力量做了认真研究。证监会认为,“暂不受理和审核措施”是证监会基于有效维护市场秩序、防范市场风险、保护投资者利益等考虑,对与因涉嫌违法违规被稽查立案的证券中介机构及其从业人员有关联的行政许可项目所采取的一种审慎性措施。
 
  邓舸介绍,总体而言,该措施的建立及实施是与我国资本市场“新兴加转轨”的发展阶段,以及市场约束机制不足、诚信文化缺失、法律制裁不够的阶段性特点相契合的。从该措施施行效果看,其在强化中介机构责任、节约监管资源、防范市场风险等方面确实发挥了较好的作用,有效地威慑了证券中介机构违法违规行为,起到了奖优限劣、净化市场环境的积极效果,得到了市场多数主体及广大投资者的认可。
 
  邓舸进一步指出,目前证监会正在对“暂不受理和审核措施”施行效果做进一步的分析评估,进一步研究增强该措施的针对性、有效性,更好地发挥监管执法措施的作用,在让涉嫌违法违规主体对自身行为负责的同时,减少其对非涉案行政许可申请人的影响。他同时表示,完善、调整“暂不受理和审核措施”将涉及证监会规章的修订完善,待有统一的结论性意见后,证监会将按照立法程序要求向社会公开征求意见。

(责任编辑:admin)

顶一下
(0)
0%
踩一下
(0)
0%