苹果惊天大漏洞带来的不是越狱高潮,而是黑灰产的狂欢
说实话,一般带有“史诗级”定语的消息,编辑总是小心求证。
“万一只是有人想搞个大新闻呢?”
比如,这两天有一个火爆的消息:一名安全研究人员在Twitter上表示,新发布的一个 iOS 漏洞,可能导致数亿个 iOS 设备遭遇永久性、不可阻挡的越狱,从iPhone 4S 开始到 iPhone 8、iPhone X 的所有 iPhone,以及其他使用同款 A 系列处理器的 iPad、iPod touch 等iOS 设备,而且该漏洞存在于硬件之上,无法通过软件来修复(来源:《苹果惊爆史诗级硬件漏洞:你的iPhone可永久越狱,无法修复!》,新智元)。
该文称,BootROM 漏洞利用了iOS设备在启动时加载的初始代码中的一个安全漏洞。由于它是 ROM(只读存储器),苹果不能通过软件更新来覆盖或修补它,所以漏洞会一直存在。这是自 10 年前发布的 iPhone 4之后,针对 iOS设备首次公开发布的第一个bootrom级别的漏洞。
然后,这篇文章还论述了大越狱时代,越狱未死的问题。
看到这个消息后,立刻与某国内顶尖 iOS 安全研究团队安全研究员取得了联系,获得了两个重要观点:
这个苹果的硬件漏洞确实是史诗级的,毫无疑问。
这个漏洞影响的其实不是越狱者,因为做越狱研究的人其实很少,它真正影响的是黑灰产。
“这种洞主要是黑产的狂欢,所有涉及 iPhone 的黑产都爽了。”
他的观点与后续向其他几位安全行业业内人士求证的信息一致,那么这个问题的严重性就不止于此了。
“这真的是一个大新闻。”
但重点是,苹果惊天大漏洞带来的不是越狱的高潮,而是黑灰产的狂欢。
比如,以前你丢了 iPhone ,可能还会收到一个钓鱼短信或者邮件。
这个钓鱼短信的背后,是“小偷”利用苹果 GSX 系统查询手机的 ID 账号,查到你的邮箱账号(手机号)后发送钓鱼邮件(短信),说你的手机在 XXXX被刷机,请求锁定手机,然后给一个链接,跳转到模仿 iCloud 官网的页面,让你输入 Apple ID 和密码。
现在可好,有了上面介绍的超级大漏洞,“小偷”都不用费劲钓鱼了,直接利用漏洞绕过苹果的 iCloud账户锁,让被盗或丢失的 iOS 设备的账户锁定失效。
直接跳过给你短信的剧情,让你丢失或者被盗得“安安心心,清清爽爽”——不用再惦记钓鱼短信并且想办法反制。
问题来了,我要是不丢手机不就行了吗?
看上去只要不丢手机就能“保平安”,事实上很多企业很着急。
苹果手机可以被随意刷机、解锁后,群控、刷榜等黑灰产笑开了花。
他们可以做做数据和点击量。比如,金主爸爸投放了一条广告,平台觉得点击量太难看,于是让手机僵尸部队出马,疯狂做点击量。
偶像小哥哥今天热搜不给力,做数据的人太少,直接上机器,送他上榜。
以身份认证业务起家的安全公司芯盾时代合伙人杜旭对说,如果刷机和解锁后,还能实现保留用户数据的功能,就会造成信息泄露、身份冒用、身份欺诈等,大量公司的风控策略将受到威胁。
这不是危言耸听。
在群控的黑灰江湖里,一直以能获得更多底层权限的安卓机以及以“几百块钱”成本打造的仿冒“苹果机”作为主力军。
【 图片来源:mon.prculture.cn 所有者:mon.prculture.cn 】
“懂懂笔记”曾发布的报道《骗红包的女友“不是人”:群控程序扮美女日进数万元》称,经营手机群控设备的商家负责人李申(化名)表示,他们的自动引流、自动红包程序,都是在原有群控设备的基础上开发使用的。
程序因为要实时与数量庞大的微信用户“对话”,因此对于手机的要求较高(远超传统群控软件的系统要求),因此,李申的成本都在购买数量庞大的二手 iPhone 6手机上,不过,这对他的“团队”还是有难处,因为二手 iPhone 6 价格不高,但需要能够越狱的系统版本,这有些难度。
李申采购的第一批 200 台 iPhone 6 都是他在全国各地的二手商家那收来的,64GB 的平均价格在1000元左右,清一色 iOS10以下系统版本,前期将手机越狱、安装程序和调试,大概花去了他和团队近半个月的时间。
安全公司永安在线研究群控黑灰产的团队证实,iPhone 群控目前主要用低版本的 iPhone 手机,比如 iPhone5s、iPhone 6,成本在1000元左右。
永安在线 CTO 邓欣对表示:“针对 iPhone 的改机目前还是较低版本的 iOS,新曝光的这个漏洞则有可能会用于高版本 iOS的改机,这对于黑产而言,也是很大的利好。”
这一点可能会让很多企业的风控人员头疼,因为很多厂商的风控规则只对低版本 iOS 做限制。
数字联盟联合创始人刘晶晶对称,固刷越狱带来最直接的后果是,iOS设备越狱后就更便于黑灰产对设备原有的标识码进行调整。也就是说,改码更容易了。这一漏洞的存在对于原本依靠软件、大数据进行风控的企业来说,通过升级软件,打补丁的方式降低风控风险的效果比较有限。
如果拿苹果手机做刷机和群控已经“随心所欲”,一个让人瑟瑟发抖的事情是,薅羊毛、骗贷大军可能装备“新武器”提刀在路上。
顶象的业务反欺诈专家梁家辉提出了不同看法:“这个漏洞让可越狱的设备覆盖范围更广,因此在短期有可能会产生更多越狱的设备,但这个漏洞并没有给黑灰产业带来新的攻击手段。 iOS 环境下要伪造设备信息篡改设备指纹,常规手段是通过安装改机工具实现,比如iGrimace、NZT等,对主流改机软件的识别是设备指纹必须具备能力。”
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- 苹果笔记本怎么苹果笔记本os系统安装win7安装win7系统?
- win7系统安装安卓软件windowsandroid的方法 win7系统安装安卓软件WindowsAndroid的方法
- 苹果macbook笔记本安装win7双系统步骤教程
- 苹果笔记本怎么安装双系统win7
- 使用联通手机营业厅查话费方法介绍
- 手机360浏览器怎么清空历史记录?手机360浏览器历史记录清空方法分享
- 苹果mac电脑删除os mac安装win7单系统X系统单独只安装Win7 Win10系统图文教程
- 手机腾讯视频怎么看本地视频?手机腾讯视频播放本地视频方法
- 手机如何投屏到win7电脑上
- 手机淘宝怎么清除缓存?手机淘宝清理缓存方法图文步骤
- 你的手机被秘密监听?Facebook监听的不是谈话而是想法
- 数码教程资讯 最新手机资讯 手机实用plt bbfit win7驱动教程
- 苹果操作系统下安装win7系统教程
- 苹果macbook笔记本安装win7双系统步骤教程
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1新萝卜家园电脑城专用系统 Windows10 x64 六一节 企业版 版本1507 2022年6月(64位) ISO镜像免费下载
- 2笔记本&台式机专用系统 Windows10 企业版 2019年10月(64位) 提供下载
- 3新萝卜家园电脑城专用系统 Windows10 x86 企业版2020年3月(32位) ISO镜像高速下载
- 4电脑公司Ghost Win8.1 X64位 纯净版2019年10月(自动激活) ISO镜像快速下载
- 5番茄花园Ghost Win8.1 (X32) 纯净版2021年11月(免激活) ISO镜像免费下载
- 6电脑公司 GhostXpSp3 喜迎国庆 电脑城装机版 2021年10月 ISO镜像高速下载
- 7深度技术 Ghost Win7 x64 Sp1 电脑城纯净版2020年4月(64位) ISO镜像高速下载
- 8番茄花园 Windows 10 极速企业版 2019年11月(32位) ISO镜像快速下载
- 9番茄花园Ghost Win8.1 (X32) 纯净版2019年10月(免激活) ISO镜像免费下载
- 10笔记本&台式机专用系统GhostWin7 64位旗舰版2020年3月(64位) 高速下载