早在三年前,iOS史上最强漏洞被曝光。黑客利用这一漏洞可获得Cookie(网站的无加密身份认证)的读写权限,冒充终端用户身份,盗取用户信息。
三年后的今天,苹果在发布的iOS 9.2.1版本上修复了这个超强漏洞。当用户连接免费或者是付费公共wifi热点时,需通过登陆页面输入个人信息,而iOS系统漏洞和强制门户页面处理设备保存的Cookie方式有关,如果用户使用的是存在漏洞的iPhone或者是iPad,在公共场合如酒店、公园或者是访问其他带有强制门户的网络时,用户登录的页面通常是未经过加密的HTTP页面,用户接受页面显示的网络使用条款后即可上网,然而嵌入浏览器则会把未加密的Cookie分享给Safari浏览器。也就是说,只要用户打开了登陆页面并且输入个人信息后,未加密的Cookie会将用户的个人信息同步分享给Safari浏览器,黑客利用这种分享的资源创建虚假强制门户,将用户信息关联到wifi网络,进而窃取iPhone或者iPad上保存的所有未经加密的Cookie。
不仅如此,黑客还利用这一漏洞进行伪装攻击、缓存中毒攻击。针对此,苹果公司在iOS 9.2.1系统中解决了这个漏洞,采用隔离强制门户Cookie的存储方式将漏洞修复。自iOS 9.2.1系统上市至今,苹果公司并未收到任何有关黑客使用这一漏洞进行攻击的信息,用户可放心使用。
