国际资讯

iPhone密码可被暴力破解？苹果回应：测试有误

近日，Hacker House联合创始人、安全研究员马修·希基（Matthew Hickey）发现了一种可以绕过错误密码输入次数限制、暴力破解苹果设备的方法，即便是最新的IOS 11.3系统也同样存在此漏洞。

通常，苹果设备会限制每分钟输入的密码次数，并且现在的新设备在硬件层面上存在一个与主处理器隔离的安全保护层，用来对用户输入的密码次数进行计数。随着输入错误密码次数的增加，设备的运行速度也会越来越慢。

希基表示，仅仅需要将苹果设备连接到电脑上即可实现破解：“当iPhone或iPad连接电脑时，通过键盘输入的指令优先级会高于设备上任何其他指令。”

如果攻击者在一个长字符串中加入0000-9999的所有密码组合，并且一次性发送所有密码，那么iOS系统便会将这条指令以最高优先级处理，高于数据删除功能指令的优先级。以此方式来绕过设备抹除数据的功能。

这同样意味着，因为对不同程序运行优先级的需要，攻击只对正在运行的设备才能实现。

除此之外，还存在另一个问题——这种攻击方式很慢，慢到每运行一次密码需要3-5秒，或者一小时内运行100个四位数密码，虽然这个漏洞对6位数密码同样有效，但解锁一台设备可能要花费数周的时间。如此低下的效率大大降低了漏洞的威胁性。

希基已经告知了苹果公司，并且通过视频做了演示。同时他表示，这个漏洞并不难被发现。

“也许还会有其他人发现这个漏洞，没准已经有人发现了”。

翌日，苹果官方对此事件进行了回应。他们表示希基是“通过错误的测试方法得到了错误的结论”。

据之前的消息，苹果将在不久之后推出新一代的系统IOS 12，其中将新增一种USB限制模式，通过锁定设备的数据端口以避免未授权的访问，也就是能够有效阻止连接数据线进行除充电以外的任何行为。或许这便是对漏洞事件的一种回应。

参考链接：http://www.freebuf.com/news/175773.html

Fredi的无线婴儿监控存在漏洞可被用作间谍摄像机

SEC Consult的安全研究人员发现，Fredi Wi-Fi婴儿监视器中的漏洞可能被未经身份验证的远程攻击者利用来控制它并监视家庭。许多商业监控产品利用默认启用的“P2P云”功能。每个设备都连接到云服务器基础架构并保持此连接。移动设备和桌面应用程序可以通过云连接到相机。这种架构使用户能够更轻松地与摄像机进行交互，路由器上不需要防火墙规则，端口转发规则或DDNS设置。但研究人员强调这种方法存在许多安全缺陷，不安全的Fredi Wi-Fi婴儿监视器也可能被黑客用作家庭网络的入口。

参考链接：https://securityaffairs.co/wordpress/73848/hacking/fredi-wi-fi-baby-monitor.html

减少约四成商店盗窃案件，NTT 推 AI 摄像头帮助店主发现潜在扒手

日本电信巨头NTT最新一项研究表明，日本零售企业每年会因商铺盗窃而遭受约4000亿日元的损失，相当于每天损失736万人民币。此前几乎没有任何商店可以避免盗窃案件发生，也没有任何强效措施可以应对小偷。

基于此，NTT与科技公司Earth Eyes合作，打造了一套名为“AI Guardman系统”。

它使用卡内基梅隆大学开发的开源技术来扫描现场视频流，并实时捕捉摄像头可以看到的任何动作。AI系统随后将动作数据与预定义的“可疑”行为进行匹配，从而实时检测疑似偷窃的行为。

这套系统在实际使用过程中安装非常简单：将摄像头布置在店铺内，系统会自动识别所有进出的人。

例如：一位中年男子进入到书店，从进门那一刻起，摄像头就会捕捉他的实时影像，并对其进行记录和分析。在这名男子进入到店内后，出现了可疑动作（典型的偷窃动作与姿势）的时候，摄像头就会立刻捕捉到他的可疑行踪，并且将相关信息推送到店员手机上发出警报，包括嫌疑人的照片与定位。

随后，营业员就会依此前去查看，如果系统判断成功，就可以阻止小偷继续行窃；如果系统判断失误，也可以为清白的顾客提供帮助。

在鉴定完毕之后，营业员就可以根据自己的判断在手机上记录对方是否为小偷。如果是，系统再识别相同动作时会更为精准；如果不是，可以以此辅助AI Guardman系统在以后的辨认中能够做到更加精准，提高安全性。

参考链接：https://www.leiphone.com/news/201806/4GBIHT6UE1IhaFKd.html

黑客事件

工信部：推动互联网、大数据、AI 和实体经济深度融合

工信部信软司在中国电子报撰文称，推动互联网、大数据、人工智能和实体经济深度融合，培育壮大经济发展新动能。下一步将持续推进“宽带中国”建设，做好网络提速降费工作，加快推进5G研发和产业化。以IPv6规模部署为契机，加快下一代网络建设，推进工业领域IPv6的应用。实施工业技术软件化行动和“芯火”计划，突破大数据、人工智能、区块链等关键技术和产品瓶颈，发挥我国在互联网应用、智能终端、网络设备等领域的比较优势，带动产业链上下游技术创新的整体性突破。

参考链接：http://hackernews.cc/archives/23394

全美第二大互联网服务供应商曝不安全API，上千万用户数据受影响

康卡斯特（Comcast Corporation，CMCSA），是全美第二大互联网服务供应商，仅次于AT&T。该公司总部位于宾夕法尼亚州的费城，主要提供有线电视、宽带网络及IP电话服务，目前拥有超过数千万的用户。

据外媒ZDNet称，一位不愿透露姓名的安全研究员向他们透露，康卡斯特旗下网站Xfinity存在一个不安全的API，可能会将用户的账户信息泄露给其他任何与该用户共享同一个网络的人或应用程序。

该安全研究员解释说，这个API是Xfinity网站的一部分，用于帮助用户通过在线商店订购服务以及查询自己的账户信息。从本质上讲，这个API只有在识别到Xfinity用户的IP地址时才会返回数据，也就是说，想要访问某个用户的账户信息必须从该用户的本地网络发出请求。

然而，这位安全研究员表示，这个API能够被欺骗，从而返回用户的数据。可能遭到泄露的数据包括：用户的帐号、家庭住址、账户类型、在线启用的服务，甚至是家庭安全设置是否处于活动状态。

该安全研究员还补充强调说，想要获取某个用户的数据并不需要得到该用户的许可，任何连接到该用户Wi-Fi网络的人通过Xfinity网站或应用程序查询账户信息时，Xfinity网站都会返回相同的用户账户信息。

移动安全专家Strafach和安全分析师Corben Leo都对这一说法进行了证实，经过他们的测试，这位安全研究人员透露的安全问题的确真实存在。

参考链接：https://www.easyaq.com/news/1585663775.shtml

世界杯激战正酣 当心不法分子攻破你的“球门”

2018俄罗斯世界杯正在如火如荼的进行中。然而，为之疯狂的并非只有球迷，一大波网络犯罪分子也蠢蠢欲动，他们借助“世界杯门票转售”、“世界杯竞猜”、“内部消息”等名义散播垃圾邮件、钓鱼网站，借此窃取企业与消费者的机密信息，或是传播勒索软件等恶意应用。亚信安全建议用户在世界杯期间加强安全防护意识，不要点击可疑的邮件以及链接，企业还可部署多层次、主动的网络安全防护方案，避免网络安全威胁乘虚而入，不要让你的世界杯成为“世界悲”。

垃圾邮件与钓鱼网站的“狂轰滥炸”

预测数据显示，本届世界杯观赛的中国观众可能高达10亿的量级，已经覆盖了大部分的公众。面对如此巨大的观赛群体以及存在的牟利空间，网络不法分子传播垃圾邮件与钓鱼网站的手段也是五花八门。例如，不法分子可能伪装成为世界杯的赞助商或是知名厂商的邮件地址，发送邮件通知用户“喜获”世界杯的大奖，或是获得“免费”的世界杯博彩参与机会。还有不法分子会在电子邮件中以“世界杯内幕”、“胜负已经内定”等耸人听闻的表述作为标题，诱导用户点击观看。

参考链接：http://netsecurity.51cto.com/art/201806/577160.htm

（来源：云天安全搜集整理互联网安全资讯）