一张照片可以操控你的苹果手机 iPhone安全性下降

　　日前，苹果发布了一个系统修复补丁，以修复存在的通过加载一张图片就可以操控苹果设备的系统漏洞，苹果表示这个补丁适用于所有的苹果设备，并证实能够对苹果手机和苹果手表的核心图像漏洞进行有效的修复。

　　iPhone

　　而这个漏洞已经使得很多苹果用户的设备遭到攻击，因为用户只需要加载一张简单的jpeg格式的图片，就可以瞬间让自己的设备遭到攻击，被黑客接管，造成非常大的损失。

　　根据苹果最新的消息，公司已经针对近来流行的通过加载图片就可以让黑客接管苹果用户设备的名为CoreGraphic的系统漏洞进行了研究，并且在第一时间发布了一款系统的修复补丁。

　　而这个被叫做CoreGraphic的系统漏洞，是由一位叫做马可·格拉西(Marco Grassi)的信息安全研究人员发现的。

　　通过这个系统漏洞，黑客可以轻而易举的创建一个JPEG格式的文件，每当用户显示这个被黑客攻击的图片文件时，这个被黑客攻击的图片文件就会利用内存漏洞来运行错误代码，使得用户的手机瞬间被攻陷，由黑客们接管。

　　苹果已经官方证实了，苹果5系列以及以上版本包括ipad4系列及以上版本还包括iPod6系列及以上版本，都可以升级到iOS10.1版本系统来避免自己的设备遭到攻击，因为iOS10.1系统已经包含了这个补丁，修复这个系统漏洞。

　　与此同时，苹果此次还发布了Apple watchOS、macOS以及tvOS等设备的系统补丁，来防止这个漏洞攻陷设备，造成苹果用户的损失。

　　“这个内存损坏的问题已经通过改进内存系统的处理方式得到了很好的解决”，这条消息也在各大网站上进行传播，以此来警告黑客攻击者们和苹果手机用户们：“查看恶意制造的JPEG文件，可能会导致设备执行任意的代码。”

　　信息安全研究员李，首先对自己的设备进行了系统升级，并且发布推特，证实自己已经将设备顺利升级到iOS10.1，可以有效的避免自己的设备被黑客攻击。iOS10.1修复了这个利用你打开一个恶意的JPEG图片文件，来进行一个远程代码执行漏洞。

　　信息安全研究员格雷厄姆·克鲁利(Graham Cluley)解释说：“简而言之，如果你浏览了一个被恶意制作的JPEG图片(例如，浏览了一个网页或者接收了一封邮件)在一个脆弱的苹果设备上，这样的话您就可能就已经允许恶意代码在您的设备上执行了。”

　　这是一个非常令人厌烦的安全漏洞，而现在苹果已经发布了一个补丁，而黑客一定也是对于攻陷这个最新版补丁非常感兴趣。

　　苹果在九月份就已经首次宣布了“肖像模式”功能，但是这个功能直到星期一公司发布iOS 10.1软件更新包之后才可以正式被用户使用。

　　这个功能复制了由于体积而使用受限的单反相机的功能。单反相机主要是通过控制镜头打开的宽度来实现这个功能，而现如今，苹果手机主要通过应用程序来对相机进行调整，因为这样也能实现这个功能。

　　人像功能的实现需要一台iPhone7设备，因为在iPhone7设备的后面安装有两个镜头，而这两个镜头能够加深相机的摄像深度，而其他的苹果设备只有一个镜头。

　　与此同时，不仅仅是iPhone7，其他系列的iPhone设备也可以享用这个系统补丁，这个补丁不仅修复了前面提到的系统漏洞，同时也对其他的一些功能进行了升级。想要使用这个新功能，需要将相机应用程序底部的滑块滑到“肖像”处，而“肖像”就在“照片”和“广场”两个板块之间。

　　屏幕将引导你靠近或远离主题，或在某些情况下，找到一个更加合适的设置。当拍摄多人的时候，必须要确保每个人到相机的距离相同，只有这样才能保持所有人都拥有合适的曝光。苹果手机的这个深度影响功能只是一个测试版本，这也就意味着这个功能还在不断调整发展的过程中，而苹果手机将默认保存你的这些调焦镜头设置。而华为的双镜头P9手机也有类似的功能。

　　而这个系统的更新就发生在苹果在美国丘珀蒂诺，加利福尼亚召开新品发布会(苹果计划发布新款的mac电脑)的三天之前。

　　Apple ID被盗事件增多 小广告钻进了iPhone相册

　　今年8月，媒体曾爆料黑产人员大规模通过 iOS 日历发送赌博推广信息及钓鱼信息。而近日不少网友再曝光iPhone的分享机制再次被利用， iCloud相册被黑产人员用于广告营销。

　　小编iPhone7遭遇了各种广告(目前iOS10.1也还没修复这个bug)

　　据悉，iPhone有iCloud相册分享邀请功能，用户只需打开照片，点击共享按钮，输入标题内容和接收方的苹果ID，对方就能收到信息提醒，而且未来可以在分享相册中持续收到照片。

　　这是苹果为方便家人、朋鸭涔蚕硗计且渫瞥龅摹５缃瘢飧“小方便”反而成为了黑产人员的“小助手”。

　　由于接收方无需和推送方是好友关系，再加上苹果手机该功能选项都是默认开启的，所以黑产人员只要知道对方 ID ，大多数iPhone用户都只能“被推广”。

　　而具有中国特色的是，小编引述白帽汇的安全从业人员观点称，这次被发广告的 ID 账号大多是 QQ 邮箱。因为中国有很多人用 QQ 邮箱作为 Apple 产品的 ID，因此黑产人员可通过撞库等行为，按以上述方式就可进行精准营销和推广。

　　报道指出，目前出现的广告大部分是电商推广信息，基本只靠文字推送，不能发图片，即使附上钓鱼网址的诈骗信息也打不开。现在市面上也暂未出现与iCloud相册推广相关的软件。

　　不过，这也已经不是QQ 邮箱第一次做苹果 ID 出问题了。

　　今年10月，媒体报道称，大量苹果手机被锁且遭黑客勒索。10月7日到10月16日，网易记者就此展开了为期十天的调查，共统计了86名苹果账号被盗的微博用户，有33人回复，其中27人使用的是QQ邮箱，占比高达82%。

　　报道援引苹果客服表述称，最近Apple ID被盗事件数量增多，“每10个接进来的电话里就有1个是Apple ID被盗”，而且近期被盗的用户多数使用的是QQ邮箱。

　　那为啥是QQ邮箱躺枪了?此前有报道曾经分析，一方面，很多人用QQ邮箱同时注册多个网站，如果其中任何一个网站泄露，那么很高概率这个邮箱就是Apple ID;另一方面，因为QQ邮箱都是数字，机器模拟时更容易生成有效的邮箱，而如果生成字母邮箱，很多都是无效的。

　　所以，珍爱手机，还是尽量不要使用QQ邮箱注册Apple ID吧。

本文链接://www.desktx.com/news/shoujizixun/5965.html

标签： iPhone安全性iPhone照片