Apple出現零點擊漏洞 緊急發布安全更新
【大紀元2021年09月14日訊】(大紀元記者陳霆綜合報導)網絡安全監督組織公民實驗室(Citizen Lab)週一(9月13日)表示,他們發現了蘋果公司(Apple Inc.)系統中的一項漏洞,黑客可藉此在所有iOS、MacOS和WatchOS設備上,安裝飛馬(Pegasus)間諜軟件。
值得注意的是,即使用戶沒有任何互動,攻擊也能奏效。研究人員認為,也不會有任何明顯的跡象,顯示設備已遭到攻擊。
Citizen Lab在聲明(鏈結)中指出,他們在分析一名沙特阿拉伯活動家的手機時,發現了這個針對iMessage的「零時差零點擊漏洞」(zero-day zero-click exploit)。
Citizen Lab表示,他們將這個漏洞稱為「FORCEDENTRY」,並確信以色列網絡監控公司NSO Group至少從今年2月起,一直利用這個漏洞攻擊最新的Apple設備。目前不清楚還有多少用戶遭到入侵。
此前,NSO Group曾傳出利用飛馬(Pegasus)間諜軟件監控世界各地的政要、記者、維權人士的手機,震驚全球。(了解詳情)
Citizen Lab指出,主要是利用iMessage能自動呈現圖像的漏洞進行攻擊,只要用戶收到惡意製作的PDF檔,就能觸發漏洞,執行任意系統代碼並入侵設備。
聲明中稱,Citizen Lab已在上週二(9月7日)將該漏洞報告給蘋果公司。
蘋果公司也在週一,緊急發布軟件更新,修復了這個漏洞。
蘋果公司工程安全和構架主管克爾斯蒂奇(Ivan Krstić)在一份聲明中說:「在發現這個用於iMessage的漏洞後,蘋果迅速開發並在iOS 14.8中部署了一個修復程序,以保護我們的用戶。」
「這樣的攻擊是高度複雜的,需要花費數百萬美元來開發,且往往有效期很短,被用來針對特定的個人」,他補充說,「雖然這意味著它們對我們絕大多數用戶沒有威脅,但我們將繼續不懈努力,保護我們所有的客戶,我們將不斷為他們的設備和數據增加新的保護措施。」
《大紀元時報》已向NSO請求置評。該公司並未承認或否認,它是否為這項技術的幕後推手,僅表示「NSO Group將繼續為世界各地的情報和執法機構,提供拯救生命的技術,以打擊恐怖主義和犯罪行為」。
「流行的聊天應用程序,可能正成為設備安全的弱點。」Citizen Lab研究員約翰·斯科特·雷爾頓(John Scott-Railton)對路透社說:「確保它們的安全應該是首要任務。」
2019年,WhatsApp也曾出現一個零點擊漏洞。Citizen Lab表示,NSO在兩週內,利用該漏洞入侵了超過1,400部手機。
儘管NSO表示,它對出售技術的政府進行了審查,但許多遭飛馬間諜軟件感染的活動家、記者和反對派政治家,都來自人權記錄不佳的國家。
Citizen Lab在聲明中說:「我們最新發現的另一個Apple零時差漏洞,被NSO Group當成武器庫的一部分,這進一步表明,像NSO Group這樣的公司,正為不負責任的政府安全機構提供『專制即服務』(despotism-as-a-service)。 」
他們呼籲,「迫切需要對這個不斷增長、高利潤且有害的市場進行監管」。
沒有留言:
張貼留言