“iTunes Wi-Fi同步”功能可能会让攻击者远程劫持你的iPhone、iPad

赛门铁克（Symantec）的研究人员向iPhone和iPad用户发出了关于新攻击的安全警告，他们将其命名为“攻击”骗取信任“这可以让你信任的人远程持久控制你的苹果设备，并从中提取数据。

苹果在iOS中提供了iTunes Wi-Fi同步功能，允许用户将iPhone无线同步到电脑。要启用此功能，用户必须通过USB电缆向受信任的计算机（带有iTunes）授予一次性权限。
一旦启用，该功能允许电脑所有者通过Wi-Fi网络秘密监视你的iPhone，而无需任何身份验证，即使你的手机不再与该电脑进行物理连接。

赛门铁克说：“阅读文本时，用户会认为这只在设备与计算机物理连接时才相关，因此假设断开连接将阻止对其私人数据的任何访问”。

由于受害者的设备上没有明显的迹象，赛门铁克认为该功能可以利用“受害者在其iOS设备和计算机之间的信任关系”
研究人员建议在以下情况下可以成功实施信任劫持攻击，尤其是当您信任错误的计算机时：

• 将手机连接到机场的免费充电器，并错误地批准弹出的许可消息以信任连接的电台。
• 如果设备所有者自己的“受信任”PC或Mac电脑受到恶意软件的危害，则不在同一Wi-Fi网络中的远程攻击者也可以访问iPhone数据。

此外，iTunes Wi-Fi同步功能还可用于在iPhone上远程安装恶意软件应用程序，以及下载备份并窃取所有照片、SMS/iMessage聊天记录和应用程序数据。

赛门铁克说：“攻击者还可以使用对该设备的访问来安装恶意应用程序，甚至用一个经过修改的包装版本替换现有应用程序，该版本看起来与原始应用程序一模一样，但能够在使用该应用程序时监视用户，甚至利用私有API随时监视其他活动”。

信任劫持攻击还可以让受信任的计算机通过反复拍摄远程屏幕截图、观察和记录你的每一个动作，实时监视你设备的屏幕。
苹果现在在iOS 11中引入了另一个安全层，在得到赛门铁克研究人员的通知后，要求用户在将iPhone与计算机配对时输入iPhone的密码。

然而，赛门铁克表示，漏洞仍然存在，因为补丁没有解决主要问题，即在给定的时间间隔后，用户的设备和受信任的计算机之间没有明显的指示或强制重新验证。

赛门铁克（Symantec）的罗伊·亚尔奇（Roy Iarchy）说：“虽然我们赞赏苹果采取的缓解措施，但我们想强调的是，它并没有以整体的方式解决反托拉斯问题”。“一旦用户选择信任受攻击的计算机，其余的攻击将继续进行，如上所述”。

保护自己的最好、最简单的方法是确保你的iOS设备不信任任何不需要的计算机。为此，您可以通过进入设置，一般和重置，重置位置&amp，隐私

此外，最重要的是，在为iOS设备充电时，当被要求信任计算机时，始终拒绝访问。你的设备仍然会使用电脑充电，而不会暴露你的数据。