针对Apple iMessage的消息加密算法缺陷(CVE-2021-35216) Apple’s iMessages Encryption Algorithm Insecure

已于 2023-10-09 02:26:46 修改
阅读量664 收藏
点赞数
分类专栏: AI大模型企业级应用开发实战 编程实践 文章标签: 大数据 人工智能 语言模型 Java Python 架构设计
于 2023-10-09 02:23:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/universsky2015/article/details/133692937
版权

作者:禅与计算机程序设计艺术

1.背景介绍

近年来,由于越来越多的手机用户使用了iMessage、WhatsApp等即时通讯软件进行日常沟通和交流,因此,保护用户隐私和个人信息安全一直是当务之急。

其中,iOS操作系统上应用层级的IM消息加密功能虽然可靠地保证了通信双方的隐私安全,但仍然存在漏洞。一个典型的漏洞就是CVE-2021-35216漏洞,该漏洞是在苹果iOS 14.7和14.7.1上发现的IM消息加密算法的缺陷,导致攻击者可以窃取到IM中传输的数据。同时,国内外一些研究人员也发布相关论文证实此漏洞的存在。

为了更好地保护用户的信息安全,各大厂商和组织都在不断完善其产品和服务,并与安全漏洞周旋。苹果公司本身也已经做出了积极响应,在去年秋天推出的OS更新14.7中修复了此漏洞,并在iOS 14.7.1中进一步提升了安全性。

但是,相比于其他漏洞,CVE-2021-35216目前仍有较高的风险。原因如下:

  1. 漏洞存在时间较短:该漏洞被公开的时间仅限于去年年底出现的几次,并且随后各大厂商在时间上都相对滞后。另外,受到影响的用户较少,导致此漏洞的危害较低。

  2. 漏洞难以直接利用:要触发此漏洞,需要借助外部工具、技术或方法。因此,攻击者必须具备丰富的攻击技能才能成功攻克此漏洞。

  3. 漏洞修复速度缓慢:在去年12月份的iOS 14.7发布会上,苹果发布了此漏洞的修复版本,并配合更新补丁同步更新了所有支持IM消息加密功能的设备。而在上个月的OS更新14.7.1发布会上,苹果只在有限范围内修复了此漏洞,仍有许多手机没有升级到最新版本。

综上所

了解本专栏 订阅专栏 解锁全文 超级会员免费看
禅与计算机程序设计艺术
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
订阅专栏
cve-2016-1764, 不破坏加密的纯文本iMessage数据恢复.zip
09-18
cve-2016-1764, 不破坏加密的纯文本iMessage数据恢复 CVE-2016-1764为开发代码恢复明文iMessage数据而不破坏加密作者来自主教的 Shubham 。来自主教的 DeMesy CVE-2016-1764: 苹果发布日期: 8,2016修补程序日期:...
CVE-2019-8660 iMessage 漏洞复现
十年磨一剑,霜刃未曾试!
08-22 2048
CVE-2019-8660 iMessage 漏洞复现 近期谷歌的研究人员披露了 5 个 iOS 中安全漏洞,并公布了 POC(Proof of concept),攻击者利用这些漏洞可以通过 iMessage 发送精心设计的消息来攻击 iOS 设备,这些漏洞不需要和任何用户交互,只要目标机 iMessage 信息接收成功即可触发漏洞。 CVE-2019-8660、 CVE-2019-8662、 C...
AppleScript 实现 imessage 批量推送 苹果推 (亲测通过)
cxy_x的博客
03-28 4754
总体实现思路介绍 因为是批量,每个账户的推送数量是有限制的,所以需要很多的设备和appleid,我通过安装虚拟机的形式实现 1.安装vm虚拟机,并且在虚拟机中安装多个macos系统,其实安装好一个其他可以直接克隆,这样就不会占用太多内存,然后在每个虚拟机中登录appleid(注意macos的版本要使用低版本的),至于怎么去安装,就不再详细介绍了,网上一抓一大把。 2.然后在macos中运行A...
CVE-2019-8646 苹果IMessage漏洞利用POC
小小的花园里面挖呀挖呀~
08-01 791
谷歌的网络安全研究人员最终披露了5个安全漏洞中的4个的详细信息和概念验证漏洞,这些漏洞可能允许远程攻击者仅通过在iMessage上发送恶意制作的消息来定位Apple iOS设备。 所有漏洞都不需要用户互动,由Google Project Zero的SamuelGroß和Natalie Silvanovich负责地向Apple报告,该公司上周发布了最新的iOS 12.4更新。 其中四个漏洞是“无交互...
CVE-2019-8660 苹果IMessage漏洞利用
小小的花园里面挖呀挖呀~
08-01 938
Google Project Zero研究人员在iOS操作系统中发现了多个漏洞,其中有 四个漏洞(CVE-2019-8660、CVE-2019-8662、CVE-2019-8647、CVE-2019-8641) 可造成无交互远程任意代码执行,一个漏洞可造成远程任意文件读取(CVE-201 9-8646) CVE-2019-8660此漏洞是存在于iOS Core Data框架以及Siri组件中的内...
spring 2021-final-project-imessage-whiteboard:spring-2021-final-project-imessage-whiteboard由GitHub Classroom创建
02-21
iMessage白板 作者:卡西迪·约翰逊(Cassidy Johnson) 电子邮件: 描述: iMessage白板是用于虚拟白板上实时协作的应用程序内iMessage扩展。 用户可以进入其聊天会话,单击iMessage白板扩展,然后开始在实时更新...
osa-imessage:使用Node.js发送和接收iMessages
05-09
通过Node.js发送和接收iMessage 安装 需要OSX 10.10优胜美地 npm install osa-imessage --save 用法 确保要求osa-imessage : const imessage = require ( 'osa-imessage' ) 发送信息 imessage . send ( '+...
alfred-imessage-2fa:Alfred的iMessage 2FA工作流程
05-22
在您最近的iMessage消息中找到两因素身份验证代码。 安装 双击.alfredworkflow文件安装工作流 您可以将工作流添加到类别中,然后单击“导入”以完成导入。 现在,您将在“工作流程”首选项窗格的左侧栏中看到工作...
iMessage-Panda-sticker:动画PNG示例iOS 10的iMessage贴纸,挥舞着熊猫!
04-27
随着iOS 10的发布,Apple在iMessage中引入了贴纸。 贴纸是可以发送或放置在消息,照片或其他贴纸上的小图像或动画。 用您自己的动画贴纸创建贴纸包很简单! 您需要和 。 克隆该项目即可开始,观看Apple的 ,或按照...
ELK日志系统的搭建
adminstate的博客
04-23 1044
ELK日志系统搭建
【Hadoop】-HDFS的存储原理[4]
weixin_63106307的博客
04-20 1466
HDFS的存储原理是将大文件切分成固定大小的数据块,并在集群中的不同节点上存储数据块的,以提高数据的可靠性和性能。同时,HDFS采用流式的数据读写方式,减少了寻址的开销,提高了数据的传输效率。
ElasticSearch 入门学习
灰熊
04-23 771
ElasticsSearch 是一个分布式的实时文档存储,每个字段可以被索引与搜索也是一个分布式实时分析搜索引擎也是一个能胜任上百个服务节点的扩展,并支持 PB 级别的结构化或者非结构化数据。
深入理解Java消息中间件-RabbitMQ
u011532237的博客
04-21 829
RabbitMQ是基于高级消息队列协议(AMQP)实现的一款开源消息代理软件,旨在提供高可用性、安全、互操作性强的企业消息系统。它由Erlang编写,因而继承了Erlang语言高并发、高可靠性的特点。
大数据——Zookeeper ZBA协议(四)
大数据爱好者的博客
04-20 912
对于分布式框架而言,基本上都会遵循CAP三大理论CAP(CAP理论是从客户端角度出发的!!!C(Consistency):一致性。在一段时间内,访问这个集群获取到的数据是相同的。注意,此时,在一个时间段内,不要求每一台服务器的数据都一样,只要保证客户端获取到的数据一样就行A(Availability):可用性。当客户端对集群中的节点发起请求的时候,节点能够在合理的时间内(一般理解为立刻)进行响应 - 时效性。注意,此处的可用性和服务器的高可用不是一回事儿!!!
大数据技术应用实训室解决方案
whwzzc的博客
04-22 1065
大数据实验实训课程体系的设计依据主要围绕培养目标、培养方案和课程体系建设三个方面来展开。大数据实验实训课程的设计旨在培养具备大数据理论知识和实践技能的专业人才。具体而言,这些人才应该能够熟练掌握大数据处理和分析的核心技术,具备独立设计和实施大数据应用的能力。同时,他们还应具备创新思维和团队协作精神,能够适应大数据行业的快速发展和变化。通过实训课程的训练,学生能够熟悉主流的大数据平台和工具,了解大数据应用的最新趋势和场景,为未来的职业发展打下坚实的基础。
架构师系列- 消息中间件(15)-kafka业务实战
最新发布
dengwei_dw的专栏
04-26 730
假设我们要传输一批订单到另一个系统,那么订单对应状态的演变是有顺序性要求的。已下单 → 已支付 → 已确认不允许错乱!Kafka Eagle监控系统是一款用来监控Kafka集群的工具,支持管理多个Kafka集群、管理Kafka主题(包含查看、删除、创建等)、消费者组合消费者实例监控、消息阻塞告警、Kafka集群健康状态查看等。
Rabbitmq消息应答,持久化,权重分配(7)
weixin_45751763的博客
04-24 835
Rabbitmq的消息应答,持久化,权重分配机制
实时数仓选型
qq_45972323的博客
04-22 258
ADS:不落盘,不存储。实质上时接口模块,查询ClickHouse的SQL语句(SQL查ClickHouse)
applescript imessage
04-30
以下是一个简单的 AppleScript 示例,可以用于发送一条 iMessage 消息: ``` tell application "Messages" set targetService to 1st service whose service type = iMessage set targetBuddy to buddy ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

禅与计算机程序设计艺术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值