Apple出现零点击漏洞 紧急发布安全更新
网络安全监督组织公民实验室(Citizen Lab)周一(9月13日)表示,他们发现了苹果公司(Apple Inc.)系统中的一项漏洞,黑客可借此在所有iOS、MacOS和WatchOS设备上,安装飞马(Pegasus)间谍软件。
值得注意的是,即使用户没有任何互动,攻击也能奏效。研究人员认为,也不会有任何明显的迹象,显示设备已遭到攻击。
Citizen Lab在声明(链接)中指出,他们在分析一名沙特阿拉伯活动家的手机时,发现了这个针对iMessage的“零时差零点击漏洞”(zero-day zero-click exploit)。
Citizen Lab表示,他们将这个漏洞称为“FORCEDENTRY”,并确信以色列网络监控公司NSO Group至少从今年2月起,一直利用这个漏洞攻击最新的Apple设备。目前不清楚还有多少用户遭到入侵。
此前,NSO Group曾传出利用飞马(Pegasus)间谍软件监控世界各地的政要、记者、维权人士的手机,震惊全球。
Citizen Lab指出,主要是利用iMessage能自动呈现图像的漏洞进行攻击,只要用户收到恶意制作的PDF档,就能触发漏洞,执行任意系统代码并入侵设备。
声明中称,Citizen Lab已在上周二(9月7日)将该漏洞报告给苹果公司。
苹果公司也在周一,紧急发布软件更新,修复了这个漏洞。
苹果公司工程安全和构架主管克尔斯蒂奇(Ivan Krstić)在一份声明中说:“在发现这个用于iMessage的漏洞后,苹果迅速开发并在iOS 14.8中部署了一个修复程序,以保护我们的用户。”
“这样的攻击是高度复杂的,需要花费数百万美元来开发,且往往有效期很短,被用来针对特定的个人”,他补充说,“虽然这意味着它们对我们绝大多数用户没有威胁,但我们将继续不懈努力,保护我们所有的客户,我们将不断为他们的设备和数据增加新的保护措施。”
有记者已向NSO请求置评。该公司并未承认或否认,它是否为这项技术的幕后推手,仅表示“NSO Group将继续为世界各地的情报和执法机构,提供拯救生命的技术,以打击恐怖主义和犯罪行为”。
“流行的聊天应用程序,可能正成为设备安全的弱点。”Citizen Lab研究员约翰·斯科特·雷尔顿(John Scott-Railton)对路透社说:“确保它们的安全应该是首要任务。”
2019年,WhatsApp也曾出现一个零点击漏洞。Citizen Lab表示,NSO在两周内,利用该漏洞入侵了超过1,400部手机。
尽管NSO表示,它对出售技术的政府进行了审查,但许多遭飞马间谍软件感染的活动家、记者和反对派政治家,都来自人权记录不佳的国家。
Citizen Lab在声明中说:“我们最新发现的另一个Apple零时差漏洞,被NSO Group当成武器库的一部分,这进一步表明,像NSO Group这样的公司,正为不负责任的政府安全机构提供‘专制即服务’(despotism-as-a-service)。 ”
他们呼吁,“迫切需要对这个不断增长、高利润且有害的市场进行监管”。