[黑客]每次聊天收到表情包时,都有可能被黑客攻击
本文插图
整天 不务正业 帮其他公司找产品漏洞的谷歌安全小组 “ 零日计划 ” 又又又立功了 。
克里斯·埃文斯 , 谷歌 “ 零日计划 ” 安全小组主管▼
本文插图
前一阵 , 谷歌的 “ 零日计划 ” 小组一口气在苹果的操作系统里找出了 13 个可能被黑客拿来搞远程攻击的漏洞 。
而且和以往一些特别有针对性的漏洞还不太一样 , 这次只要手机上装了能收发图片的聊天软件( 比如微信、钉钉 ) , 就暴露在了黑客的攻击面之下 。
13 个漏洞 , 同时针对所有聊天软件 , 想想就觉得好刺激啊 。。。
本文插图
不过大家大可放心 , 只要是官方披露出来的漏洞 , 就说明苹果已经知晓并且修复了 。 ( iOS 13.1 之后就修复了 )
所以手持 iPhone 、 iPad 和 MacBook 的小伙伴们 , 只需要把系统更新到最新版本 , 基本就不用担心了 。
用苹果设备的小伙伴们
现在去检查下有没有系统更新呗▼
本文插图
那么在大家等着更新下载完成的这段时间里 , 差评君就来给大家盘盘 , 这回能一口气攻击所有聊天软件的漏洞是怎么回事儿吧 。
对于莫得感情的手机和电脑来说 , 图像文件其实和 Word 文档、 MP3 音乐文件一样 , 只是一串没什么意义的数据 。
只有在使用特定的软件( 比如相册 App )打开的时候 , 才能解析出其中包含的图像内容 , 供用户查看 。
而一张图片 , 从我们点开 , 到展现在我们面前 , 大概经历了下面这么一个过程。
【[黑客]每次聊天收到表情包时,都有可能被黑客攻击】
本文插图
作为一张成熟的图片 , 它会先在文件开头表明自己的图片身份 , 方便电脑钦定那个最适合打开它的软件 。
而在苹果的系统里 , 那个被钦定的图片解析软件就是苹果自家的 “ Image I/O ” 图片读写框架 。
读写大部分图片格式 /
管理色彩 /
读取图片元数据 ▼
本文插图
嗯 。。 可能不少小伙伴压根没听说过这号软件 , 实际上它是个类似于系统底层服务的组件 , 自己是没有独立运行界面的 。
但是相册 App 的底层用的是它 , 微信相册里的图片读写模块也是它 。。。
众所周知 , 由于苹果系统对隐私的管控比较严格 , 几乎所有 App 读写图片的时候 , 都得用到它 。
实际上这些界面的背后 , 都是 Image I/O 框架在提供支持▼
本文插图
没错 , 就像你们猜到的那样:这个专门给其他 App 提供照片读写支持的系统框架 , 它翻车了 。
不知道大家还记不记得 , 差评君之前跟大家讨论过用图片追踪一个人的行踪( 传送门 ) , 那时差评君讲过可以往图片文件的描述区域里添加看不见的 “ 隐形标记 ”。
本文插图
当时 Facebook 就是用这种方法 , 偷偷在图片里添加了属于自己的追踪 ID, 从而追踪一张图片在互联网上的流转情况 。
这次的情况和上回差不多 , 只不过被恶意添加到图片文件里的不再是一串追踪 ID, 而是变成了实打实的可执行恶意代码 。
- 黑客攻破40万的Mac Pro:「史上最贵越狱」?
- 威锋网Pro:「史上最贵越狱」?,黑客攻破40万的Mac
- 【杭州】来杭州25年,每次买房买车我和老公会去西湖兜一圈,这是一种仪式
- InfoQ二次元“中毒”患者?一黑客操纵僵尸网络 8 年,只为下载动漫视频
- 陈晨晨Duo现支持群组视频聊天 未来几周部署到Chrome,[视频]Google
- 企微解读师企业微信聊天记录怎么备份?
- 手机电脑双黑客中国黑客群体的真实收入
- 怎么恢复微信聊天记录?超简单,深度恢复用这招!
- 重科技访问卡顿、业务中断······怎么防御黑客DDoS攻击?
- 代码漏洞、黑客、市场波动、套利者:DeFi 风险管理的范式 | 火星号精选