💙 Banana Mail攻击是如何远程“零点击”实现DoS的?
💙 开发者如何规避类似漏洞?哪些安全编程细节最容易被忽视?本周四(8月7日)19:00,《追AI的人》系列直播第54期邀请了阿里巴巴安全部密码学与隐私保护团队安全工程师石冰分享《一封邮件导致系统瘫痪?针对苹果生态的远程零点击拒绝服务攻击》。
直播主题:《一封邮件导致系统瘫痪?针对苹果生态的远程零点击拒绝服务攻击》直播地点: 微信搜索“阿里巴巴AI治理中心”视频号,B站搜“AAIG课代表”X.509由国际电信联盟(ITU)制定,是公钥基础设施(PKI)的标准,规范了数字证书的格式及认证机制。作为PKI核心,X.509证书对TLS、S/MIME等安全协议的运行至关重要,现代操作系统也利用X.509证书进行签名验证,确保应用程序的真实性和完整性。在此次分享中,我们将解读发表在USENIX Security '25的论文《X.509DoS: Exploiting and Detecting Denial-of-Service Vulnerabilities in Cryptographic Libraries using Crafted X.509 Certificates》。我们重点介绍Banana Mail,这是一种利用S/MIME邮件中的X.509证书对苹果macOS/iOS等系统进行零点击拒绝服务(DoS)攻击的方法。该攻击利用苹果处理X.509证书代码中的漏洞,可以无需用户交互,通过一封邮件远程触发,使设备瘫痪。由于邮件和证书的驻留特性,用户重启设备后漏洞仍可能被触发,对设备造成持久影响。此外,我们将分析畸形X.509证书在实际场景中的威胁及其在利用和检测密码算法库的DoS漏洞中的作用。最后,我们将提供安全编程建议和防御措施,帮助在开发过程中规避此类风险。
阿里巴巴安全部密码学与隐私保护团队安全工程师,主要从事软件安全与应用密码学方向的研究工作,重点关注二者交叉领域中的安全问题,如密码学相关的漏洞挖掘与利用等。
《追AI的人》系列直播是一档由阿里巴巴人工智能治理与可持续发展研究中心(AAIG)联合高校和产业界发起的AI治理交互栏目。重点关注并分享人工智能新技术、AI治理新观点、可持续发展新风向。目前联合高校、律所等多家单位举办了53期直播,吸引全国超100万人次实时观看。
内容中包含的图片若涉及版权问题,请及时与我们联系删除
评论
沙发等你来抢