它们是什么,如何保护自己

插入未受保护的 iPhone 或者 iPad 进入新端口可能会导致不必要的感染。 果汁劫持和信任劫持是感染数字疾病的两种方式,但有一些方法可以保护自己。

您在为设备充电时可能没有考虑过网络安全 iPhone 在旅途中,但闪电电缆可以传输数据和电力。 以下是相关的漏洞以及减轻风险的方法。

什么是榨汁?

智能手机和平板电脑使用相同的连接进行充电和数据传输。 “果汁劫持”利用了所有者将其设备插入恶意或受损充电端口的可能性,然后可以利用该端口窃取设备中的数据。

之前, iOS 设备在插入时更容易发生果汁劫持 iOS 将设备连接到 PC 无需授权。 然而,当 iOS 2013 年引入 7 后,情况已不再如此。

如何防止榨汁

当您连接您的 iOS 将设备连接到计算机, iOS 7 询问您:“信任这台计算机吗?”通过 USB 或 WiFi 连接时,您可以从此计算机访问您的设置和数据。”然后您可以选择“信任”或“不信任”。

后来措辞更改为:“允许此设备访问照片和视频吗?”此设备可以在连接到您的设备时访问照片和视频 iPhone。”然后您可以选择“允许”或“不允许”。

假设你选择 不允许,不会发生挤汁现象。 如果您在将设备连接到仅充电端口时看到此消息,则可能是恶意尝试传输数据或安装恶意软件。

虽然此提示(如果被拒绝)可以有效防止果汁劫持 iOS 设备上,一个被称为“信任劫持”的漏洞于 2017 年被发现。

什么是信任劫持?

网络安全软件公司赛门铁克发现了一种让其他用户控制所有者财产的方法 iOS 通过 Wi-Fi 设备,即使设备不再连接到有害插座。

它的工作原理是利用一种称为 iTunes Wi-Fi 同步的功能,该功能(顾名思义)允许一个 iOS 当设备未进行物理连接时,可以通过 WiFi 与计算机的 iTunes 软件同步。

选择 允许 连接时 iOS 带有电缆的设备允许计算机使用 iTunes API 与其进行通信。 尽管此方法仍然依赖于所有者信任所连接的计算机,但一旦物理连接被切断,它使攻击者能够保持对设备的高级控制。

信任劫持允许攻击者创建 iTunes 备份并安装应用程序,而所有这些都无需所有者通知或同意。 提取的备份可以包括 iMessage 和短信聊天以及应用程序数据。 此外,设备上安装的应用程序可以秘密地替换为恶意应用程序,这些应用程序可以收集有关用户活动的敏感信息和数据。

虽然使用iTunes Wi-Fi Sync仅限于电脑和电脑 iOS 如果您的设备连接到同一 Wi-Fi 网络,则信任劫持可能会与恶意配置文件攻击和 VPN 以保持永久访问。 但是,发生这种情况的风险很低,并且仅适用于在组织的 MDM 计划中注册的设备。

Apple对信任劫持的回应

为了缓解信任劫持问题, Apple 随着发布引入了一个额外的步骤 iOS 2017 年 11 月 11 日。这增加了在使用设备时输入设备密码的要求。 允许 选择选项以确保仅 iOS 设备所有者可以授权数据连接。

但是,如果发生授权,这仍然不会停止 iOS 一旦电缆被拔出,这可以防止设备通过 Wi-Fi 同步被 iTunes 控制,或者警告用户这种可能性,只是部分解决了该漏洞。

如何降低信任劫持的风险

据我们所知,信任劫持仍然是每个人面临的风险 iOS 和 iPadOS 设备。 幸运的是,作为设备所有者,您可以通过多种方法将这种风险降至最低。

如果您怀疑不需要的计算机可以访问您的设备,您可以首先撤消对所有受信任计算机的访问权限。 然后,您需要重新授权您想要将设备连接到的任何计算机。

  1. 设置
  2. 转移或重置 iPhone/iPad
  3. 重置为默认
  4. 选择 重置位置和隐私
  5. 然后输入设备的密码进行确认。

您还可以加密 iTunes 备份,以防止潜在的攻击者读取信息。 为此,请将您的设备连接到您信任的计算机。

如何加密您的本地备份 iPhone

  1. 针对 Mac 开放 发现者或为了 Windows 个人电脑,开放 iTunes
  2. 从此 一般来说 或者 概括 选项卡,转到 备份 部分。
  3. 查看 加密本地备份

最后,请记住,如果您只想为设备充电,则不需要数据连接 iPhone 或 iPad,所以请始终选择它 不允许 除非您正在传输数据,否则为选项。 如果您不拥有正在使用的计算机,那么在完成后撤消访问权限可能是个好主意。