不用點擊就能入侵!iPhone 出現零時差漏洞,大多數版本恐受害

作者 | 發布日期 2021 年 09 月 14 日 8:49 | 分類 Apple , iPhone , 手機 Telegram share ! follow us in feedly


以色列網路情報公司 NSO Group 傳出利用間諜軟體 Pegasus 監控世界各地記者、維權人士的手機,震驚全球。網路安全監督組織 Citizen Lab 週一揭露,NSO Group 開發一種新工具,允許駭客使用間諜軟體 Pegasus 入侵 iPhone,且至少自 2 月起就一直使用,打敗了蘋果近年的安全系統。

Citizen Lab 指出,它在一名不願透露姓名的沙烏地阿拉伯活動家的手機中發現這種惡意軟體,而且間諜軟體已在 2 月份入侵至手機。目前不清楚還有多少用戶也遭到入侵。

iPhone 的漏洞在於 iMessage 自動呈現圖像的方式。蘋果公司表示,如果有易受攻擊的設備用戶收到惡意製作的 PDF 檔,就可以利用這個漏洞入侵。目前影響的所有版本包括 iOS、macOS 和 watchOS,除了週一最新的更新版本。

值得注意的是,預定目標不需要點擊任何東西,攻擊就能奏效。研究人員認為,也不會有任何明顯的跡象顯示正在發生駭客攻擊。

不過,蘋果發言人拒絕回應駭客技術是否來自 NSO Group。然而,在 iPhone 13 系列新機亮相的前一天,蘋果已經先釋出  iOS 14.8,稱是提供「重要的安全更新」,也建議所有的使用者都應該安裝。據悉,此次的版本更新當中並沒有加入新功能,不難排除跟上述案件有所關聯。

iMessage 多次成為 NSO Group 和其他網路軍火商的目標,促使蘋果更新其架構,但這次升級並沒有完全保護系統。

蘋果安全工程和架構負責人 Ivan Krstić 在聲明中表示,在辨識到 iMessage 的漏洞後,蘋果迅速在 iOS 14.8 中開發並部署了修復程式,目前漏洞已經修復完畢。

Citizen Lab 資深研究員 John Scott-Railton 認為,聊天 App 是設備安全的「軟肋」,由於這些 App 無處不在,成為駭客常見的攻擊目標,因此保護這一部分變得更加重要,縮小駭客對 App 的攻擊範圍也有助於讓設備更加安全。

(首圖來源:shutterstock)

延伸閱讀: