苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

近日,苹果公司被曝出旗下的手机、平板、电脑等硬件产品存在严重安全漏洞,

行情图

查看最新行情

苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

本报记者 李玉洋 李正豪 上海报道

即将发布,0day(在网络安全界通常是指没有补丁的漏洞利用程序)级别漏洞盖在了苹果头上。

近日,苹果公司被曝出旗下的手机、平板、电脑等硬件产品存在严重安全漏洞,而这些漏洞可以让黑客轻松获得设备的“完全管理权限”,并以他们的名义运行任何软件。目前苹果并未对外透露该漏洞的更多详情,仅表示是由一名匿名研究人员发现了这一漏洞。

“0day级别漏洞是说刚刚被发现、还没有被公开的漏洞,威胁很大。”民间互联网安全组织网络尖刀安全团队成员沦沦告诉《中国经营报》记者,鉴于苹果自身很注重安全漏洞方面的问题,出现0day级别漏洞实属“比较少见”,但该漏洞还不是天花板级别,建议苹果用户及时升级系统。

苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

360漏洞研究院人士也向记者表示,这次漏洞影响非常广泛,几乎影响苹果所有的设备,如、iPad、Mac等,但“从历史攻击事件来看,针对苹果设备的攻击主要集中在特定的高价值人群或者某些特定组织,所以对普通用户来说,及时更新系统,不随意点击未知的链接,还不需要太过于紧张”。

对于此次漏洞是否已被利用、造成损失以及将来如何应对类似漏洞等问题,记者联系苹果中国方面,截至发稿未获答复。不过目前苹果公司公开声称已经找到相应的解决方法,同时呼吁用户立刻下载最新更新,以修补漏洞。

漏洞已被利用

据了解,受本次漏洞影响的设备涵盖了手机、平板、电脑“苹果三件套”:手机包括 6S及以后的型号;平板包括第五代及以后的iPad、所有的iPad Pro以及iPad Air 2;电脑则是运行MacOS 的Mac。此外,该漏洞还能影响到部分型号的iPod。

“我们从公开的信息看,该漏洞主要利用的是Apple 代码执行漏洞(CVE-2022-32893)和Apple 权限提升漏洞(CVE-2022-32894)。”沦沦表示,Apple 是浏览器引擎,被使用在、Mail、App Store、iOS和Linux,Apple 在处理恶意制作的Web内容可能会导致任意代码执行,简单来说,Apple内核存在本地权限提升漏洞,“通过越界读写,成功利用该漏洞可以将本地用户权限提升至内核权限,并以内核权限执行任意代码”。

需要指出的是,CVE指的是通用漏洞披露( and )。对于该漏洞的解析,深度科技研究院院长张孝荣则形象地称之为相当于给了黑客一把万能钥匙,随时可以出入用户的终端。

沦沦还表示,目前国内已经有多个安全团队发现该漏洞已经被利用的情况,即外部已有攻击组织在利用这类漏洞。“目前看各大安全厂商的反馈(该漏洞)还没有大范围扩散,漏洞细节也还未进行公开。”他说。

苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

在所发布的安全更新中,苹果表示该漏洞可能已被用于攻击行为。“这就是我们所说的零日漏洞(0day漏洞),也就是在公司发现并能够做出回应之前,已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司()的高级威胁情报顾问杰米·科利尔(Jamie )说。

在前述360漏洞研究院人士看来,虽然苹果在声明中用了“可能”两字,但结果上和逻辑上已经说明该漏洞被“利用”了,此次苹果不仅修复了这两个漏洞,还针对攻击方法引进了新的防护措施,从而加大了相似漏洞的攻击难度。

安全考验仍在

张孝荣指出,虽然苹果终端里的系统漏洞相对要少很多,但随着苹果用户的增长,苹果系统日益成为黑客攻击的目标,安全漏洞问题也愈发严重起来。事实上,苹果历史上出现过多次影响重大的漏洞。

“比如2016年的三叉戟漏洞,跟本次修复的漏洞相似,也是通过苹果设备自带的浏览器作为攻击入口,只需要点击恶意链接就可以攻击到内核并接管设备;还有2021年的漏洞,这应该是苹果历史上影响最大的漏洞,因为受害者不需要任何点击,攻击者只需要通过发送信息到受害者手机上,就可以完成攻击。”前述360漏洞研究院人士说。

有一种观点指出,黑客利用这个漏洞就能在用户不需要点击任何链接的情况下让用户的中招。对此,前述360漏洞研究院人士指出,黑客想要利用此次漏洞入侵苹果设备还是需要受害者点击链接的,“因为从这次苹果的安全公告来看,苹果修复了这两个漏洞,一是浏览器漏洞,二是内核漏洞,这两个漏洞形成了一个完整的攻击链,受害者只需要点击黑客发送的恶意链接,黑客就能接管苹果设备”。

沦沦认为需要交互。“除非是在同一个局域网,攻击者利用了特定的劫持手段把正常网站比如百度篡改为漏洞EXP,这样用户只要访问了百度就可以直接触发漏洞。”他指出,黑客利用该漏洞的攻击途径包含在局域网内进行扩散,比如同一个WiFi下的ARP(地址解析协议)欺骗植入这种漏洞,或者通过邮件、短信等钓鱼方式让用户点击存在漏洞的链接。

苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

记者注意到,8月17日和18日,苹果中国官方密集发布系统更新,包含iOS 15.6.1、 15.6.1、MacOS 12.5.1、 8.7.1以及 浏览器 15.6.1。从更新提示看,以上软件均与安全性有关,苹果也提醒所有用户尽快安装。

前述360漏洞研究院人士指出,该漏洞实际上是新漏洞老手法,攻击方式上没有过于特别的东西,但值得重视的是,近几年苹果公司引入了非常多而且有效的安全防护措施,不断加大攻击难度,在业界也引起了广泛的关注,并且得到广大安全从业者的赞誉,“在这种情况下依然不断出现在野漏洞攻击事件,对苹果公司来说是重大的考验和挑战”。

对普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。不过,沦沦建议广大用户不要对数字安全和隐私保护放松戒备。

“现在信息泄露这么严重,别人拿到你的信息很容易,如果这个漏洞大范围公开的话,应该会有黑产对信息泄露的一大批人下手,比如批量给他们发短信或邮件信息,诱骗去点击。”因此,他强烈建议广大数字产品用户不要点击来历不明的链接、不要访问一些恶意网站以及公开免费WiFi尽量不要去使用。

炒股开户享福利,入金抽188元红包,100%中奖!

苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

海量资讯、精准解读,尽在新浪财经APP

本文图片和文字均整理自互联网,不代表本站立场,内容如有错误或侵权,请点击右侧按钮联系我们,我们会在24小时内处理。
(0)
上一篇 2022年8月30日 15:00
下一篇 2022年8月30日 15:00

相关推荐

联系我们

侵权、纠错:server@wlmq.cc
商务、渠道:admin@wlmqw.com
工作时间:周一至周五,10:30-18:30,节假日休息