雷锋网音讯，美国工夫4月19日，据外媒报道，赛门铁克的研讨人员发现了苹果生态中的一个破绽，只需用户的 iPhone 与 Mac 任务站或笔记本配对，黑客就能应用该破绽（Trustjacking）偷偷摸摸地“接收”用户设备。

从技术角度来看，Trustjacking 这个破绽根植于“iTunes Wi-Fi 同步”功用中。

只需用户在 iTunes 的选项中给“iTunes Wi-Fi 同步”打了勾，在新的 iPhone 与 Mac 设备同步时，用户就能经过无线网络连上智能手机，省下了费事的数据线。

的确，这个功用相当方便，借助 iTunes 用户就能从智能手机上恢复或发送数据。

iTunes 上翻开 iTunes Wi-Fi 同步的办法

不过， 赛门铁克研讨人员以为，这项功用在设计上呈现了破绽，由于即便 iPhone 与 Mac 设备断开了衔接，也照样能经过本地 Wi-Fi 检查配对的 iPhone。

能接入本地 Wi-Fi，攻击者就能控制 iPhone

赛门铁克古代操作零碎平安研讨部门担任人 Roy Iarchy 在 RSA 2018 平安大会上发布了他们的发现，称黑客可滥用 iTunes Wi-Fi 同步功用来控制用户设备，而且是神不知鬼不觉的。

Iarchy 指出，一旦该功用翻开，只需受益者连上了一台有毒的设备，黑客就能用 iTunes 记载下用户的日常操作。详细来说，iTunes API 会距离性的停止截屏，并将截屏发回 iTunes 使用。

此外，黑客还能随意在受益者手机上装置或卸载使用，他们甚至能激活近程备份，命令 iPhone 回传数据，随后经过挑选数据牟利。

攻击的限制条件正在变少

雷锋网 (大众号：雷锋网) 发现，显然，这样的攻击是有条件的，毕竟在衔接电脑前 iPhone 屏幕上还是会弹出提示，用户赞同了才行，因而别胡连其别人的电脑就行。

不过，Trustjacking 攻击有所不同。Iarchy 就强调，影响你 Mac 设备的歹意病毒能运用自动脚本翻开“iTunes Wi-Fi 同步”功用，随后回传数据或感染任何配对的 iPhone， 只需这些设备处在同一个无线网络中。

更可怕的是，Trustjacking 曾经退化了，如今不需求本地的 Wi-Fi 网络黑客也能得手，只需 Mac 电脑和配对的 iPhone 处在相反的 VPN 上就行。

苹果的补漏措施不够片面

赛门铁克表示，它们曾经将这一成绩告诉了苹果，不过苹果的处理方案并不能让它们称心。

苹果提出的处理方案是在配对时要求 iPhone 用户输出手秘密码 ，这样的措施能避免别人趁你不留意完成手机与电脑的配对。

不过，赛门铁克以为，这次破绽封堵并没有处理 iTunes Wi-Fi 同步这个大 bug，攻击者还是能在断开衔接后从手机上盗取数据。

“我们很赞赏苹果修补破绽的神速，但不得不说的是这次晋级并没有全盘处理 Trustjacking 的要挟。 一旦用户选择信任中了毒的电脑，黑客照样能为所欲为。 ”Iarchy 在博文中写道。

“不幸的是，我们无法列出一切受信任的电脑并对后台拜访停止挑选。”Iarchy 补充道。AI已经渗透到了生活中的方方面面。在智能交通领域，人工智能技术也正在发挥作用。“最好的办法就是确定本人的 iOS 设备没有信任奇奇异怪的电脑。此外，你还能进入设置> 通用> 重置> 重置地点和隐私来甩掉潜在的攻击者。不过，下次再受权某台电脑衔接本人的 iOS 设备时，可得长点心了。”

雷锋网Via.  Bleeping Computer

。