新聞 > 科教 > 正文

Apple出現零點擊漏洞 緊急發佈安全更新

圖為民眾在使用蘋果公司(Apple)的iPhone手機。

網絡安全監督組織公民實驗室(Citizen Lab)周一(9月13日)表示,他們發現了蘋果公司(AppleInc.)系統中的一項漏洞,黑客可藉此在所有iOS、MacOS和WatchOS設備上,安裝飛馬(Pegasus)間諜軟件。

值得注意的是,即使用戶沒有任何互動,攻擊也能奏效。研究人員認為,也不會有任何明顯的跡象,顯示設備已遭到攻擊。

Citizen Lab在聲明(連結)中指出,他們在分析一名沙特阿拉伯活動家的手機時,發現了這個針對iMessage的「零時差零點擊漏洞」(zero-day zero-click exploit)。

Citizen Lab表示,他們將這個漏洞稱為「FORCEDENTRY」,並確信以色列網絡監控公司NSO Group至少從今年2月起,一直利用這個漏洞攻擊最新的Apple設備。目前不清楚還有多少用戶遭到入侵。

此前,NSO Group曾傳出利用飛馬(Pegasus)間諜軟件監控世界各地的政要、記者、維權人士的手機,震驚全球。(了解詳情)

Citizen Lab指出,主要是利用iMessage能自動呈現圖像的漏洞進行攻擊,只要用戶收到惡意製作的PDF檔,就能觸發漏洞,執行任意系統代碼併入侵設備。

聲明中稱,Citizen Lab已在上周二(9月7日)將該漏洞報告給蘋果公司。

蘋果公司也在周一,緊急發佈軟件更新,修復了這個漏洞。

蘋果公司工程安全和構架主管克爾斯蒂奇(Ivan Krstić)在一份聲明中說:「在發現這個用於iMessage的漏洞後,蘋果迅速開發並在iOS14.8中部署了一個修復程序,以保護我們的用戶。」

「這樣的攻擊是高度複雜的,需要花費數百萬美元來開發,且往往有效期很短,被用來針對特定的個人」,他補充說,「雖然這意味着它們對我們絕大多數用戶沒有威脅,但我們將繼續不懈努力,保護我們所有的客戶,我們將不斷為他們的設備和數據增加新的保護措施。」

大紀元時報》已向NSO請求置評。該公司並未承認或否認,它是否為這項技術的幕後推手,僅表示「NSO Group將繼續為世界各地的情報和執法機構,提供拯救生命的技術,以打擊恐怖主義和犯罪行為」。

「流行的聊天應用程式,可能正成為設備安全的弱點。」Citizen Lab研究員約翰·斯科特·雷爾頓(John Scott-Railton)對路透社說:「確保它們的安全應該是首要任務。」

2019年,WhatsApp也曾出現一個零點擊漏洞。Citizen Lab表示,NSO在兩周內,利用該漏洞入侵了超過1,400部手機。

儘管NSO表示,它對出售技術的政府進行了審查,但許多遭飛馬間諜軟件感染的活動家、記者和反對派政治家,都來自人權記錄不佳的國家。

Citizen Lab在聲明中說:「我們最新發現的另一個Apple零時差漏洞,被NSO Group當成武器庫的一部分,這進一步表明,像NSO Group這樣的公司,正為不負責任的政府安全機構提供『專制即服務』(despotism-as-a-service)。」

他們呼籲,「迫切需要對這個不斷增長、高利潤且有害的市場進行監管」。

責任編輯: 夏雨荷  來源:大紀元記者陳霆綜合報導 轉載請註明作者、出處並保持完整。

本文網址:https://hk.aboluowang.com/2021/0915/1646827.html