蘋果安全漏洞曝光：可能有5億部iPhone易受攻擊

蘋果公司正計(jì)劃修復(fù)一個(gè)漏洞，此前一家安全公司表示，這個(gè)漏洞可能已令超過(guò)5億部iPhone易受黑客攻擊，而且iPad上也存在這個(gè)漏洞。

舊金山移動(dòng)安全取證公司ZecOps CEO祖克·阿夫拉哈姆（Zuk Avraham）在2019年底對(duì)一名客戶受到的復(fù)雜網(wǎng)絡(luò)攻擊進(jìn)行調(diào)查時(shí)發(fā)現(xiàn)了這個(gè)漏洞，他稱其發(fā)現(xiàn)有證據(jù)表明，至少有6次網(wǎng)絡(luò)安全入侵活動(dòng)利用了這個(gè)漏洞。

蘋果公司發(fā)言人承認(rèn)，iPhone和iPad上的電子郵件軟件（即Mail應(yīng)用）存在漏洞，并表示該公司已經(jīng)開(kāi)發(fā)了一個(gè)修復(fù)程序，將在即將發(fā)布的軟件更新中推出。但該公司拒絕對(duì)阿夫拉哈姆周三發(fā)表的研究置評(píng)，這項(xiàng)研究表明該漏洞可被遠(yuǎn)程觸發(fā)，而且已被黑客用來(lái)攻擊一些知名用戶。阿夫拉哈姆稱，他發(fā)現(xiàn)有證據(jù)表明，早在2018年1月就有一個(gè)惡意程序利用了這個(gè)iOS移動(dòng)操作系統(tǒng)漏洞，但無(wú)法確定黑客的具體身份。

阿夫拉哈姆表示，在上述案例中，黑客通過(guò)Mail應(yīng)用向受害者發(fā)出一份空白電郵，導(dǎo)致后者的系統(tǒng)崩潰并重置，而系統(tǒng)崩潰令黑客得以竊取照片和聯(lián)系人信息等其他數(shù)據(jù)。

ZecOps聲稱，即使是基于最新版本iOS系統(tǒng)運(yùn)行的iPhone，黑客也能利用這個(gè)漏洞遠(yuǎn)程竊取其數(shù)據(jù)。該漏洞可令黑客獲取Mail應(yīng)用有權(quán)訪問(wèn)的任何信息，包括私密消息。

做過(guò)以色列國(guó)防軍（Israeli Defense Force）安全研究員的阿夫拉哈姆表示，他懷疑上述黑客技術(shù)只是一系列惡意程序的一部分，其余的都還沒(méi)被發(fā)現(xiàn)，而這些程序可能已讓黑客獲得完全的遠(yuǎn)程訪問(wèn)權(quán)限。蘋果公司拒絕就此置評(píng)。

阿夫拉哈姆主要是基于“崩潰報(bào)告”中的數(shù)據(jù)而得出結(jié)論的，程序在未能成功執(zhí)行任務(wù)時(shí)就會(huì)生成這種報(bào)告。然后，他重新創(chuàng)造了一種可以導(dǎo)致受控崩潰的技術(shù)。

兩名獨(dú)立安全研究人員對(duì)ZecOps的發(fā)現(xiàn)進(jìn)行了審查，認(rèn)定證據(jù)可信，但表示由于時(shí)間有限的緣故，他們尚未完全再現(xiàn)ZecOps的發(fā)現(xiàn)。

蘋果安全專家、前美國(guó)國(guó)家安全局（NSA）研究員帕特里克·沃德?tīng)枺≒atrick Wardle）表示，這個(gè)發(fā)現(xiàn)“證實(shí)了一直以來(lái)被嚴(yán)格保守的一個(gè)秘密：資源充足的黑客可以悄無(wú)聲息地遠(yuǎn)程感染打好了所有補(bǔ)丁的iOS設(shè)備”。

由于蘋果公司直到最近才意識(shí)到這個(gè)軟件漏洞，因此在此之前，該漏洞對(duì)提供黑客服務(wù)的政府和承包商來(lái)說(shuō)可能是很有價(jià)值的。如果一個(gè)黑客程序能對(duì)一部最新款iPhone發(fā)動(dòng)攻擊，且不會(huì)觸發(fā)警報(bào)，則其價(jià)格可能會(huì)達(dá)到100萬(wàn)美元以上。

雖然網(wǎng)絡(luò)安全行業(yè)在很大程度上認(rèn)為蘋果公司擁有很高的數(shù)字安全標(biāo)準(zhǔn)，但由于iPhone的全球人氣如此之高，因此任何成功的黑客技術(shù)都可能影響到數(shù)以百萬(wàn)計(jì)算的iPhone用戶。蘋果公司表示，2019年中活躍使用的iPhone約為9億部。

加拿大學(xué)術(shù)安全研究組織“公民實(shí)驗(yàn)室”（Citizen Lab）的安全研究員比爾·馬爾扎克（Bill Marczak）表示，ZecOps發(fā)現(xiàn)的這個(gè)漏洞很“嚇人”。他說(shuō)道：“黑客攻擊很多時(shí)候是可以預(yù)防的，這個(gè)事實(shí)可以讓人感到安慰。（但）有了這個(gè)漏洞，不管你是不是擁有網(wǎng)絡(luò)安全博士學(xué)位，都會(huì)讓你吃不下飯。”

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。