據(jù)媒體報(bào)道,蘋果公司在周三(8月17日)發(fā)布了兩份安全報(bào)告,承認(rèn)公司的智能手機(jī)iPhone、平板電腦iPad和iMac電腦等產(chǎn)品存在嚴(yán)重的安全漏洞。
公開信息查詢顯示,該漏洞報(bào)告時(shí)間為 2022年6月9日,漏洞編號(hào)分別是CVE-2022-32894和CVE-2022-32893,主要影響以下兩部分:
內(nèi)核:應(yīng)用程序或許能夠以內(nèi)核權(quán)限執(zhí)行任意代碼。
Webkit:處理惡意制作的網(wǎng)頁內(nèi)容可能會(huì)導(dǎo)致任意代碼執(zhí)行。
值得注意的是,這些漏洞一旦被利用,黑客可直接獲得設(shè)備的管理權(quán)限。蘋果也指出,該漏洞很大可能已經(jīng)被利用,強(qiáng)烈督促用戶更新系統(tǒng)修復(fù)漏洞。
蘋果公司之所以如此急迫,其原因在于此次漏洞的危害性非同小可。
根據(jù)其發(fā)布的兩份報(bào)告內(nèi)容,幾乎所有的蘋果設(shè)備都會(huì)受到影響。其中手機(jī)受影響型號(hào)最早可追溯到2015年發(fā)布的iPhone 6S,這意味著幾乎市面上所有在使用的iPhone都面臨著該漏洞的威脅。受影響的iPad則是2017年發(fā)布的第五代及后續(xù)版本,iPad mini4及后續(xù)機(jī)型,所有的iPad Pro版本、iPad Air2、iPodtouch(第7代)等產(chǎn)品。電腦端受影響則是所有運(yùn)行MacOS Monterey的Mac;瀏覽器方面包括macOS Big Sur和macOS Catalina。
由此可見該漏洞的恐怖之處,其威力幾乎可以和軟件后門相媲美。
隨后,“蘋果曝出嚴(yán)重安全漏洞”消息迅速?zèng)_上了各社交平臺(tái)的熱搜榜,并喜提微博熱搜榜第一,引無數(shù)網(wǎng)友紛紛參與討論。不少網(wǎng)友對(duì)于蘋果的安全性表示擔(dān)憂,畢竟一向以安全著稱的蘋果設(shè)備,竟然在一個(gè)漏洞面前接近于全軍覆沒。
同時(shí),由于該漏洞披露時(shí)間晚于黑客利用時(shí)間,因此有網(wǎng)友表示“感到非常不安”,有的甚至擔(dān)心自己的隱私信息已經(jīng)被泄露,而自己對(duì)此一無所知。但有專家表示無需太過擔(dān)憂,黑客幾乎不怎么會(huì)對(duì)普通人的信息“感興趣”,也不會(huì)耗費(fèi)時(shí)間精力進(jìn)行“監(jiān)控”。
對(duì)此有網(wǎng)友表示“不知該笑還是該哭”,“無價(jià)值”反而成為普通人保護(hù)個(gè)人隱私的最佳防御措施。
漏洞正在成為蘋果產(chǎn)品的常態(tài)
近年來,隨著蘋果產(chǎn)品市場占有率持續(xù)上升,其曝出的安全漏洞數(shù)量也呈現(xiàn)出上升趨勢,并且漏洞危險(xiǎn)性也在不斷增加。僅2020年和2021年期間,已經(jīng)公布的零日漏洞高達(dá)數(shù)十個(gè)。
例如2020年4月,蘋果曝出默認(rèn)郵件程序中存在兩個(gè)0day漏洞,利用該漏洞攻擊者可在多個(gè)版本的iOS系統(tǒng)上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,影響范圍波及全球超十億部蘋果設(shè)備。
據(jù)悉,兩個(gè)漏洞已存在8年之久,從iOS6到當(dāng)前的iOS13.4.1均被波及,更為可怕的是,至少在2018年1月起多個(gè)組織已經(jīng)開始利用這兩個(gè)在野零日漏洞發(fā)動(dòng)針對(duì)性攻擊,北美、日本、德國、沙特、以色列等多個(gè)國家的企業(yè)高管首當(dāng)其沖,而用戶幾乎無法察覺到異常的存在。截止目前,蘋果官方已承認(rèn)此次漏洞事件,表示已開發(fā)修復(fù)程序,并會(huì)盡快推出安全更新。
2021年7月,蘋果曝出一個(gè)高危漏洞,據(jù)Amnesty International發(fā)布的報(bào)告稱,用戶無需點(diǎn)擊任何鏈接或APP,攻擊者可通過間諜軟件來竊取iPhone上的敏感數(shù)據(jù)。
報(bào)告指出,iPhone如果感染NSO Group的Pegasus惡意軟件,攻擊者就能竊取信息和郵件,甚至可以控制手機(jī)麥克風(fēng)攝像頭。有些政府部門會(huì)使用NSO Group軟件,黑客可以用蘋果不知道的方法竊取數(shù)據(jù),即使iPhone軟件保持在最新狀態(tài),也無法阻止使用昂貴機(jī)密間諜軟件的攻擊者。
2021年10月,蘋果曝出一個(gè)重磅零日漏洞,漏洞編號(hào)CVE-2021-30883。據(jù)蘋果公司的發(fā)布的安全報(bào)告,該漏洞允許應(yīng)用程序以內(nèi)核權(quán)限執(zhí)行任意代碼。受影響的產(chǎn)品包括iPhone6及更高版本、iPad Pro(所有型號(hào))、iPad Air2及更高版本、iPad第5代及更高版本、iPad mini4及更高版本,以及iPod Touch(第7代)。值得一提的是,在被修復(fù)之前,該漏洞已經(jīng)被攻擊者利用,且安全人員構(gòu)建了PoC測試。
可以預(yù)見的是,隨著越來越多的攻擊者盯上蘋果公司,其智能產(chǎn)品還將繼續(xù)曝出更多安全漏洞,這是無法避免的結(jié)果。但更重要的是,蘋果公司能否有快速的反應(yīng)時(shí)間,足夠的技術(shù)實(shí)力,來快速修復(fù)這些漏洞,這才是蘋果公司安全與否的關(guān)鍵所在。
畢竟絕對(duì)的安全并不存在,安全和不安全一直處于動(dòng)態(tài)變化之中,也希望蘋果公司能夠一如既往強(qiáng)化安全屬性,正如其官網(wǎng)上所宣傳的那樣“生產(chǎn)市場上最安全的移動(dòng)設(shè)備”。