苹果曝XCodeGhost漏洞,遭遇重大安全危机
近期国内漏洞平台爆出XCodeGhost事件,引发安全界的广泛讨论。事件起因是非官方渠道发布的Xcode(Apple集成开发环境)编译器被黑客内置了恶意代码,开发人员使用受感染的Xcode编译、生成的应用会被植入后门,收集并上传用户APP信息,并可能泄漏iCloud账号密码,直接危害用户隐私、账号以及资金安全。
最新数据显示,AppStore下载量排名前5000应用中有76款被感染,包括不少装机量过亿的明星应用。安全研究人员指出此次事件是Apple遭遇重大的安全危机之一。
"好莱坞艳照门"泄露事件
此次事件已不是首起Apple公共安全事件。在2014年8月"好莱坞艳照门"泄露事件中,约200张大多为好莱坞女性艺人的私人照片(包括裸照等不雅隐私内容)被人盗取并上传至了贴图网站,并被大量用户转发。Apple经过调查后宣布,事件并非由于iCloud安全漏洞导致,而是黑客针对iCloud账号、密码以及安全问题的定向攻击行为,意味着爆出的照片只是泄漏数据的冰山一角。
值得注意的是,Apple在泄漏事件之后启用双因素认证(2FA)机制保护iCloud账号安全,启动此项安全功能需要首先为iCloud账户注册手机号码,登录时不仅验证账号、密码,还需要完成短信验证码的二次认证。
短信验证码安全吗?
事实上,短信验证码已经成为移动金融保护账号安全的重要手段,手机银行、快捷支付都使用短信验证码验证关键操作,但这种认证方式并不安全,存在三种类型的安全威胁:
(1)短信劫持:黑客通过短信传输渠道或接收端劫持应用;
(2)非授权访问:移动终端丢失或被盗之后可能导致账户资金被盗;
(3)钓鱼:黑客可通过钓鱼网站或电话骗取用户的短信验证码。
7月,某个大型国有银行爆出网上交易业务漏洞,黑客操作银行账户执行贵金属交易,通过电话骗取快捷支付的短信验证码,通过快捷支付转走账户资金。
双因素认证(2FA)路在何方?
云安全联盟CSA在《2013年云计算九大安全威胁报告》中指出,云计算安全排名前三的安全威胁分别是数据泄漏、数据损失和账号盗用,2FA用作重要安全机制保护账号安全,提升云计算安全水平。2FA自身安全成为关注重点,一旦2FA机制本身存在安全漏洞则无法有效保护账号安全。2012年国外著名安全厂商的软件令牌(SOTP)实现机制爆出安全漏洞,黑客可以预测令牌值导致安全机制失效。
基于多项移动安全技术专利,通付盾推出移动身份认证HUE(Host Ukey Emulation)方案,使用随身携带、随时随地使用的手机作为身份认证工具,基于云端的设备识别平台精准、唯一识别移动终端的设备号,结合云密码系统生成及认证技术,使得软件OTP接近硬件令牌安全等级。
同时,用户通过安全带外(OOB)信道确认交易,模拟二代U盾确认操作,有效防范操作劫持、钓鱼等威胁,兼顾安全性、快捷性以及用户体验等多方面。
热门专题
