您的位置:首頁(yè) >新聞 > 財(cái)經(jīng)要聞 >

【環(huán)球報(bào)資訊】蘋(píng)果曝出嚴(yán)重安全漏洞 相當(dāng)于給了黑客一把萬(wàn)能鑰匙?

iPhone14即將發(fā)布,0day(在網(wǎng)絡(luò)安全界通常是指沒(méi)有補(bǔ)丁的漏洞利用程序)級(jí)別漏洞蓋在了蘋(píng)果頭上。

近日,蘋(píng)果公司被曝出旗下的手機(jī)、平板、電腦等硬件產(chǎn)品存在嚴(yán)重安全漏洞,而這些漏洞可以讓黑客輕松獲得設(shè)備的“完全管理權(quán)限”,并以他們的名義運(yùn)行任何軟件。目前蘋(píng)果并未對(duì)外透露該漏洞的更多詳情,僅表示是由一名匿名研究人員發(fā)現(xiàn)了這一漏洞。


(資料圖片僅供參考)

“0day級(jí)別漏洞是說(shuō)剛剛被發(fā)現(xiàn)、還沒(méi)有被公開(kāi)的漏洞,威脅很大?!泵耖g互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀安全團(tuán)隊(duì)成員淪淪告訴《中國(guó)經(jīng)營(yíng)報(bào)》記者,鑒于蘋(píng)果自身很注重安全漏洞方面的問(wèn)題,出現(xiàn)0day級(jí)別漏洞實(shí)屬“比較少見(jiàn)”,但該漏洞還不是天花板級(jí)別,建議蘋(píng)果用戶及時(shí)升級(jí)系統(tǒng)。

360漏洞研究院人士也向記者表示,這次漏洞影響非常廣泛,幾乎影響蘋(píng)果所有的設(shè)備,如iPhone、iPad、Mac等,但“從歷史攻擊事件來(lái)看,針對(duì)蘋(píng)果設(shè)備的攻擊主要集中在特定的高價(jià)值人群或者某些特定組織,所以對(duì)普通用戶來(lái)說(shuō),及時(shí)更新系統(tǒng),不隨意點(diǎn)擊未知的鏈接,還不需要太過(guò)于緊張”。

對(duì)于此次漏洞是否已被利用、造成損失以及將來(lái)如何應(yīng)對(duì)類似漏洞等問(wèn)題,記者聯(lián)系蘋(píng)果中國(guó)方面,截至發(fā)稿未獲答復(fù)。不過(guò)目前蘋(píng)果公司公開(kāi)聲稱已經(jīng)找到相應(yīng)的解決方法,同時(shí)呼吁用戶立刻下載最新更新,以修補(bǔ)漏洞。

漏洞已被利用

據(jù)了解,受本次漏洞影響的設(shè)備涵蓋了手機(jī)、平板、電腦“蘋(píng)果三件套”: 手機(jī)包括iPhone 6S及以后的型號(hào); 平板包括第五代及以后的iPad、所有的iPad Pro以及iPad Air 2; 電腦則是運(yùn)行MacOS Monterey的Mac。 此外,該漏洞還能影響到部分型號(hào)的iPod。

“我們從公開(kāi)的信息看,該漏洞主要利用的是Apple WebKit代碼執(zhí)行漏洞(CVE-2022-32893)和Apple Kernel權(quán)限提升漏洞(CVE-2022-32894)?!睖S淪表示,Apple Webkit是瀏覽器引擎,被使用在Safari、Mail、App Store、iOS和Linux,Apple Webkit在處理惡意制作的Web內(nèi)容可能會(huì)導(dǎo)致任意代碼執(zhí)行,簡(jiǎn)單來(lái)說(shuō),Apple內(nèi)核存在本地權(quán)限提升漏洞,“通過(guò)越界讀寫(xiě),成功利用該漏洞可以將本地用戶權(quán)限提升至內(nèi)核權(quán)限,并以內(nèi)核權(quán)限執(zhí)行任意代碼”。

需要指出的是,CVE指的是通用漏洞披露(Common Vulnerabilities and Exposures)。 對(duì)于該漏洞的解析,深度科技研究院院長(zhǎng)張孝榮則形象地稱之為相當(dāng)于給了黑客一把萬(wàn)能鑰匙,隨時(shí)可以出入用戶的終端。

淪淪還表示,目前國(guó)內(nèi)已經(jīng)有多個(gè)安全團(tuán)隊(duì)發(fā)現(xiàn)該漏洞已經(jīng)被利用的情況,即外部已有攻擊組織在利用這類漏洞?!澳壳翱锤鞔蟀踩珡S商的反饋(該漏洞)還沒(méi)有大范圍擴(kuò)散,漏洞細(xì)節(jié)也還未進(jìn)行公開(kāi)。”他說(shuō)。

在所發(fā)布的安全更新中,蘋(píng)果表示該漏洞可能已被用于攻擊行為?!斑@就是我們所說(shuō)的零日漏洞(0day漏洞),也就是在公司發(fā)現(xiàn)并能夠做出回應(yīng)之前,已經(jīng)被黑客所使用過(guò)的漏洞。” 美國(guó)麥迪安網(wǎng)絡(luò)安全公司(Mandiant)的高級(jí)威脅情報(bào)顧問(wèn)杰米·科利爾(Jamie Collier)說(shuō)。

在前述360漏洞研究院人士看來(lái),雖然蘋(píng)果在聲明中用了“可能”兩字,但結(jié)果上和邏輯上已經(jīng)說(shuō)明該漏洞被“利用”了,此次蘋(píng)果不僅修復(fù)了這兩個(gè)漏洞,還針對(duì)攻擊方法引進(jìn)了新的防護(hù)措施,從而加大了相似漏洞的攻擊難度。

安全考驗(yàn)仍在

張孝榮指出,雖然蘋(píng)果終端里的系統(tǒng)漏洞相對(duì)Windows要少很多,但隨著蘋(píng)果用戶的增長(zhǎng),蘋(píng)果系統(tǒng)日益成為黑客攻擊的目標(biāo),安全漏洞問(wèn)題也愈發(fā)嚴(yán)重起來(lái)。 事實(shí)上,蘋(píng)果歷史上出現(xiàn)過(guò)多次影響重大的漏洞。

“比如2016年的三叉戟漏洞,跟本次修復(fù)的漏洞相似,也是通過(guò)蘋(píng)果設(shè)備自帶的瀏覽器作為攻擊入口,只需要點(diǎn)擊惡意鏈接就可以攻擊到內(nèi)核并接管設(shè)備;還有2021年的FORCEDENTRY漏洞,這應(yīng)該是蘋(píng)果歷史上影響最大的漏洞,因?yàn)槭芎φ卟恍枰魏吸c(diǎn)擊,攻擊者只需要通過(guò)發(fā)送iMessage信息到受害者手機(jī)上,就可以完成攻擊?!鼻笆?60漏洞研究院人士說(shuō)。

有一種觀點(diǎn)指出,黑客利用這個(gè)漏洞就能在用戶不需要點(diǎn)擊任何鏈接的情況下讓用戶的iPhone中招。對(duì)此,前述360漏洞研究院人士指出,黑客想要利用此次漏洞入侵蘋(píng)果設(shè)備還是需要受害者點(diǎn)擊鏈接的,“因?yàn)閺倪@次蘋(píng)果的安全公告來(lái)看,蘋(píng)果修復(fù)了這兩個(gè)漏洞,一是瀏覽器漏洞,二是內(nèi)核漏洞,這兩個(gè)漏洞形成了一個(gè)完整的攻擊鏈,受害者只需要點(diǎn)擊黑客發(fā)送的惡意鏈接,黑客就能接管蘋(píng)果設(shè)備”。

淪淪認(rèn)為需要交互?!俺鞘窃谕粋€(gè)局域網(wǎng),攻擊者利用了特定的劫持手段把正常網(wǎng)站比如百度篡改為漏洞EXP,這樣用戶只要訪問(wèn)了百度就可以直接觸發(fā)漏洞?!彼赋觯诳屠迷撀┒吹墓敉緩桨诰钟蚓W(wǎng)內(nèi)進(jìn)行擴(kuò)散,比如同一個(gè)WiFi下的ARP(地址解析協(xié)議)欺騙植入這種漏洞,或者通過(guò)郵件、短信等釣魚(yú)方式讓用戶點(diǎn)擊存在漏洞的鏈接。

記者注意到,8月17日和18日,蘋(píng)果中國(guó)官方密集發(fā)布系統(tǒng)更新,包含iOS 15.6.1、iPadOS 15.6.1、MacOS Monterey 12.5.1、watchOS 8.7.1以及Safari 瀏覽器 15.6.1。從更新提示看,以上軟件均與安全性有關(guān),蘋(píng)果也提醒所有用戶盡快安裝。

前述360漏洞研究院人士指出,該漏洞實(shí)際上是新漏洞老手法,攻擊方式上沒(méi)有過(guò)于特別的東西,但值得重視的是,近幾年蘋(píng)果公司引入了非常多而且有效的安全防護(hù)措施,不斷加大攻擊難度,在業(yè)界也引起了廣泛的關(guān)注,并且得到廣大安全從業(yè)者的贊譽(yù),“在這種情況下依然不斷出現(xiàn)在野漏洞攻擊事件,對(duì)蘋(píng)果公司來(lái)說(shuō)是重大的考驗(yàn)和挑戰(zhàn)”。

對(duì)普通民眾而言,本次漏洞不太可能造成大范圍的問(wèn)題。通常情況下,當(dāng)iPhone等手機(jī)的漏洞被利用時(shí),往往是有針對(duì)性的,攻擊一般集中于一小部分人。不過(guò),淪淪建議廣大用戶不要對(duì)數(shù)字安全和隱私保護(hù)放松戒備。

“現(xiàn)在信息泄露這么嚴(yán)重,別人拿到你的信息很容易,如果這個(gè)漏洞大范圍公開(kāi)的話,應(yīng)該會(huì)有黑產(chǎn)對(duì)信息泄露的一大批人下手,比如批量給他們發(fā)短信或郵件信息,誘騙去點(diǎn)擊?!币虼耍麖?qiáng)烈建議廣大數(shù)字產(chǎn)品用戶不要點(diǎn)擊來(lái)歷不明的鏈接、不要訪問(wèn)一些惡意網(wǎng)站以及公開(kāi)免費(fèi)WiFi盡量不要去使用。

關(guān)鍵詞: 安全漏洞
最新動(dòng)態(tài)
相關(guān)文章
【環(huán)球報(bào)資訊】蘋(píng)果曝出嚴(yán)重安全漏洞 ...
世界今頭條!小朋友零花錢(qián)要被奧特曼“...
環(huán)球訊息:光伏賽道大消息:一次簽了900...
【新視野】“中國(guó)奢侈品電商第一股”寺...
今日聚焦!大堵船!這里近百艘船滯留 黃...
焦點(diǎn)日?qǐng)?bào):不可自由支??!醫(yī)保個(gè)人賬戶...