苹果将iOS安全更新机制转移到HTTPS

发布日期：2017-12-04

随着iOS 10的发布，苹果终于将其iOS安全更新机制转移到了HTTPS。在此之前，系统更新通过HTTP发送至设备，如果攻击者恰好处在同一网络中，用户极易收到干扰。

苹果公司表示：

“iOS更新中曾存在一个问题，从而没有真正保护用户通信。现在这个问题通过使用HTTPS进行软件更新解决”，此外中间人攻击者可能会阻止设备接收更新。

这个变化是iOS 10中修补的七个漏洞之一，这是移动操作系统的一个重大更新。 MacRumors表示，在更新的早期阶段，用户还报告了将设备置于恢复模式的安装问题。

苹果后来承认，更新过程中存在一个问题，并且少量的用户在修复之前受到了影响。

苹果在本地iOS Mail应用程序中修补了一个潜在的严重问题，在该应用程序中，网络上的攻击者可能会窃取电子邮件凭据。

“处理不受信任的证书的过程存在一个问题，”苹果解释道，”我们的做法是终止不可信的连接。”

苹果公司还在iOS 10的新消息框架中修补了一个隐私问题，苹果公司在iPhone和iPad上修补了一个未经登录的设备上读取消息的隐私问题。

苹果公司表示，问题在于使用Handoff for Messages，并通过优化状态管理解决了该问题。Handoff确保iOS设备之间的同步和连续性。此外，这次更新还解决了恶意应用程序可以用来自定义短信发件人的漏洞。

苹果说：

“短信草稿目录中存在访问控制问题。这个问题是通过阻止应用程序统计受影响的目录来解决的。”

苹果公司还修补了键盘缓存敏感信息的iOS键盘中的一处漏洞，并在自动更正的建议中显示。GeoServices中的一个错误也被解决了，因为PlaceData中的权限问题，应用程序可能会读取位置信息。

苹果还为El Capitan 10.11.5及更高版本更新了Xcode，修复了otool工具中的一个漏洞，该漏洞允许本地攻击者崩溃应用程序或运行代码。苹果表示，它修补了多个内存损坏漏洞。

最后，苹果改进了在WatchOS中的一个权限问题，该问题可能允许应用程序读取位置信息。