iOS 最可怕的漏洞,同樣也可用來攻擊 Mac OS X

作者 | 發布日期 2016 年 09 月 03 日 0:00 | 分類 Apple , iOS , iPhone follow us in feedly
FLICKR Procsilas Moscas

這個名為 NSO Group 的以色列「間諜公司」不久前剛剛被曝光,使用一組驚人的 iOS 漏洞攻擊了一位社會名流。這顯然不是他們第一次「作案」。



為了封堵這組漏洞,蘋果緊急發布了 iOS 9.3.5 升級修補程式。而當全世界的駭客對蘋果發布的漏洞詳情仔細研究之後才發現,這些漏洞已經難以用「逆天」來形容了。使用這些漏洞,NSO 居然可以遠端越獄任何一支手機,進而監控手機上的所有隱私。

雷鋒網配圖

▲ 受害者曼蘇爾收到的兩條短訊,點擊鏈接手機就會被控制。

NSO 簡直就是代替了上帝的功能。

為了紀念這 3 個「上帝漏洞」,安全研究員給他們命名為:三叉戟漏洞。

簡單科普一下,三叉戟漏洞的「三叉」分別為:

  1. 遠端突破 iOS 的 Safari 瀏覽器漏洞。
  2. 使核心資訊洩露的漏洞。
  3. 用於在核心中執行任意程式碼的漏洞。

事件一出,輿論嘩然。全世界人民連夜升級了安全的 iOS 9.3.5,然後喝著茶、吃著瓜子,長吁短嘆了一番,就各自散去了。然而,事情看起來並不是這麼簡單。

雷鋒網配圖

▲ 三叉戟漏洞詳情。

就在近日,蘋果冷不防放出 Mac OS X 上的安全升級,資安研究人員震驚地發現,這些升級恰恰封堵了 NSO Group 對於 Mac OS 的致命攻擊!這時,人們才猛然意識到。原來不僅僅是 iPhone,在每一台 MacBook 中,也靜靜地躺著一個桌面系統版的「三叉戟」。

TechNews 2016-09-02 at 4.22.32 PM

現在看來,Mac OS X 的「三叉戟」攻擊方法大致如下:

  1. 攻擊 Mac OS 的 Safari 瀏覽器, 在你的 MacBook 上站穩腳跟。
  2. 利用核心資訊洩露漏洞,突破系統的安全機制。
  3. 利用核心衝突漏洞,欺騙 Mac OS X,趁機執行任意攻擊程式碼。

讓人不寒而慄的是:

沒有人知道這些工具已經被賣給多少個國家;

也沒有人知道這些工具究竟用來監視了多少人;

更沒有人知道世界上有多少人因此被人肉、被監視、被喝茶、被自殺。

為了你的身體健康,在這裡建議:

  1. 升級你的 iOS 系統到 9.3.5 版本。
  2. 升級你的 Mac OS X 到 Yosemite 10.10.5 或 El Capitan 10.11.6 版本。
  3. 升級你的 Mac OS Safari 到 9.1.3 版本。
  4. 不要一時想不開就換成 Android 系統。

(本文由 雷鋒網 授權轉載;首圖來源:Flickr/Procsilas Moscas CC BY 2.0)

延伸閱讀:

關鍵字: , , , ,

發表迴響