早些时候研究人员发现臭名昭著的以色列间谍软件开发商NSO集团利用Apple iMessage未知漏洞进行无感攻击。
理论上说购买飞马间谍软件的政府机构只需要知道目标用户的手机号码或苹果账号即可利用漏洞实现全方位监视。
包括但不限于远程开启摄像头和麦克风进行录音录像、盗取照片或通讯录、监视用户的短信记录或者位置信息等。
由于NSO 集团利用的这枚漏洞可能是从黑市上收购的,所以此漏洞并未被苹果发现因此被NSO 集团持久化利用。
用户需要立即升级系统:
这枚新漏洞被称为 ForcedEntry (强迫进入),此漏洞击败苹果的BlastDoor 防御系统,该系统用来过滤恶意消息。
苹果在9月7日接到研究人员通报这枚新漏洞并于今日发布更新,iPhone、iPad、Mac及Apple Watch均需升级。
其中iPhone和iPad用户需要将iOS版本升级至iOS 14.8/iPadOS 14.8 , 基于安全考虑此版本升级后都不支持降级。
如果你使用苹果其他设备也请及时点击检查更新升级最新版本,至于漏洞的细节苹果将在多数用户升级后再公开。
苹果被质疑提供虚假的安全感:
苹果发布声明表示在接到研究人员通报确定漏洞后,该公司迅速开发部署修复程序以保护苹果在全球各地的客户。
为此苹果感谢公民实验室获取此漏洞利用样本的艰苦工作,得益于公民实验室的详细调查苹果可以快速进行修复。
此次攻击非常复杂开发成本预估有数百万美元,苹果表示此类漏洞通常质保期较短并且主要是针对特定用户攻击。
这意味着大多数此漏洞不会对大多数用户造成威胁,但苹果将继续不知疲倦的保护所有客户并为设备提供新保护。
苹果这番话说的倒是非常漂亮然而即便针对特定用户的攻击也难以让人接受,毕竟这意味着每个人都可能被攻击。
这也是此前有媒体质疑苹果提供虚假的安全感的原因,因为没人知道这枚漏洞修复后是否还有其他被利用的漏洞。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/153970.html