您的位置:首页 >热点 >

要闻速递:苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?

2022-08-27 07:59:01    来源:凤凰网

iPhone14即将发布,0day(在网络安全界通常是指没有补丁的漏洞利用程序)级别漏洞盖在了苹果头上。


(资料图)

近日,苹果公司被曝出旗下的手机、平板、电脑等硬件产品存在严重安全漏洞,而这些漏洞可以让黑客轻松获得设备的“完全管理权限”,并以他们的名义运行任何软件。目前苹果并未对外透露该漏洞的更多详情,仅表示是由一名匿名研究人员发现了这一漏洞。

“0day级别漏洞是说刚刚被发现、还没有被公开的漏洞,威胁很大。”民间互联网安全组织网络尖刀安全团队成员沦沦告诉《中国经营报》记者,鉴于苹果自身很注重安全漏洞方面的问题,出现0day级别漏洞实属“比较少见”,但该漏洞还不是天花板级别,建议苹果用户及时升级系统。

360漏洞研究院人士也向记者表示,这次漏洞影响非常广泛,几乎影响苹果所有的设备,如iPhone、iPad、Mac等,但“从历史攻击事件来看,针对苹果设备的攻击主要集中在特定的高价值人群或者某些特定组织,所以对普通用户来说,及时更新系统,不随意点击未知的链接,还不需要太过于紧张”。

对于此次漏洞是否已被利用、造成损失以及将来如何应对类似漏洞等问题,记者联系苹果中国方面,截至发稿未获答复。不过目前苹果公司公开声称已经找到相应的解决方法,同时呼吁用户立刻下载最新更新,以修补漏洞。

漏洞已被利用

据了解,受本次漏洞影响的设备涵盖了手机、平板、电脑“苹果三件套”: 手机包括iPhone 6S及以后的型号; 平板包括第五代及以后的iPad、所有的iPad Pro以及iPad Air 2; 电脑则是运行MacOS Monterey的Mac。 此外,该漏洞还能影响到部分型号的iPod。

“我们从公开的信息看,该漏洞主要利用的是Apple WebKit代码执行漏洞(CVE-2022-32893)和Apple Kernel权限提升漏洞(CVE-2022-32894)。”沦沦表示,Apple Webkit是浏览器引擎,被使用在Safari、Mail、App Store、iOS和Linux,Apple Webkit在处理恶意制作的Web内容可能会导致任意代码执行,简单来说,Apple内核存在本地权限提升漏洞,“通过越界读写,成功利用该漏洞可以将本地用户权限提升至内核权限,并以内核权限执行任意代码”。

需要指出的是,CVE指的是通用漏洞披露(Common Vulnerabilities and Exposures)。 对于该漏洞的解析,深度科技研究院院长张孝荣则形象地称之为相当于给了黑客一把万能钥匙,随时可以出入用户的终端。

沦沦还表示,目前国内已经有多个安全团队发现该漏洞已经被利用的情况,即外部已有攻击组织在利用这类漏洞。“目前看各大安全厂商的反馈(该漏洞)还没有大范围扩散,漏洞细节也还未进行公开。”他说。

在所发布的安全更新中,苹果表示该漏洞可能已被用于攻击行为。“这就是我们所说的零日漏洞(0day漏洞),也就是在公司发现并能够做出回应之前,已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司(Mandiant)的高级威胁情报顾问杰米·科利尔(Jamie Collier)说。

在前述360漏洞研究院人士看来,虽然苹果在声明中用了“可能”两字,但结果上和逻辑上已经说明该漏洞被“利用”了,此次苹果不仅修复了这两个漏洞,还针对攻击方法引进了新的防护措施,从而加大了相似漏洞的攻击难度。

安全考验仍在

张孝荣指出,虽然苹果终端里的系统漏洞相对Windows要少很多,但随着苹果用户的增长,苹果系统日益成为黑客攻击的目标,安全漏洞问题也愈发严重起来。 事实上,苹果历史上出现过多次影响重大的漏洞。

“比如2016年的三叉戟漏洞,跟本次修复的漏洞相似,也是通过苹果设备自带的浏览器作为攻击入口,只需要点击恶意链接就可以攻击到内核并接管设备;还有2021年的FORCEDENTRY漏洞,这应该是苹果历史上影响最大的漏洞,因为受害者不需要任何点击,攻击者只需要通过发送iMessage信息到受害者手机上,就可以完成攻击。”前述360漏洞研究院人士说。

有一种观点指出,黑客利用这个漏洞就能在用户不需要点击任何链接的情况下让用户的iPhone中招。对此,前述360漏洞研究院人士指出,黑客想要利用此次漏洞入侵苹果设备还是需要受害者点击链接的,“因为从这次苹果的安全公告来看,苹果修复了这两个漏洞,一是浏览器漏洞,二是内核漏洞,这两个漏洞形成了一个完整的攻击链,受害者只需要点击黑客发送的恶意链接,黑客就能接管苹果设备”。

沦沦认为需要交互。“除非是在同一个局域网,攻击者利用了特定的劫持手段把正常网站比如百度篡改为漏洞EXP,这样用户只要访问了百度就可以直接触发漏洞。”他指出,黑客利用该漏洞的攻击途径包含在局域网内进行扩散,比如同一个WiFi下的ARP(地址解析协议)欺骗植入这种漏洞,或者通过邮件、短信等钓鱼方式让用户点击存在漏洞的链接。

记者注意到,8月17日和18日,苹果中国官方密集发布系统更新,包含iOS 15.6.1、iPadOS 15.6.1、MacOS Monterey 12.5.1、watchOS 8.7.1以及Safari 浏览器 15.6.1。从更新提示看,以上软件均与安全性有关,苹果也提醒所有用户尽快安装。

前述360漏洞研究院人士指出,该漏洞实际上是新漏洞老手法,攻击方式上没有过于特别的东西,但值得重视的是,近几年苹果公司引入了非常多而且有效的安全防护措施,不断加大攻击难度,在业界也引起了广泛的关注,并且得到广大安全从业者的赞誉,“在这种情况下依然不断出现在野漏洞攻击事件,对苹果公司来说是重大的考验和挑战”。

对普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当iPhone等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。不过,沦沦建议广大用户不要对数字安全和隐私保护放松戒备。

“现在信息泄露这么严重,别人拿到你的信息很容易,如果这个漏洞大范围公开的话,应该会有黑产对信息泄露的一大批人下手,比如批量给他们发短信或邮件信息,诱骗去点击。”因此,他强烈建议广大数字产品用户不要点击来历不明的链接、不要访问一些恶意网站以及公开免费WiFi尽量不要去使用。

标签: 安全漏洞

相关推荐

天天消息!白酒半年报 | 天佑德酒第二季度净利下滑368%:存量市场竞争加剧,控股股东半...

【天天快播报】新氧的医美生意,不好做了

环球快资讯丨美媒:西方国家误判俄罗斯经济

焦点信息:高盛最新展望:明年美国陷入经济衰退可能性为30% 9月或加息50个基点

头条:美国二季度实际GDP年化季环比上修至-0.6%,经济前景不容乐观

中国移动香港有限公司与伟东云教育集团在港签署职业培训产品合作协议

天天观天下!传北京通州放松限购?知情人士:存在已久,仅针对少数特定人群,并非新政策

【天天热闻】《2022母婴洞察报告》发布:新一代宝妈宝爸如何养娃?

全球讯息:亚马逊《水手计划》第二季将于8月底上线,新增“水手观察室” 和 “水手自习...

全球视点!欧比特:被美国商务部列入实体清单不会对经营产生实质性影响

天天时讯:北极穿短袖中东发洪水!罕见夏季暴雨袭击热带沙漠地区

出彩 香港美心月饼2022年新TVC

焦点快报!汉得信息2022年上半年营收14.6亿元同比增9%,称将加码新能源和半导体等领域

全球快报:百度持极米股份已腰斩,投影仪行业“价格战”或开战在即

天天动态:外汇局:8月以来境外投资者净买入中国证券 体现了人民币资产的长期投资价值

热议:追债700多亿!金融盟友“夺命”宝能

新动态:康美药业原董事长等被执行超30亿,涉嫌操纵证券市场罪、违规披露

天天微头条丨【北向资金大单买入报告】贵州茅台获净买入8.47亿元

前沿热点:多城鼓励“团购买房”,引热议

全球今日讯!工信部:提升太阳能光伏和新型储能电池供给能力

每日时讯!360上半年营收48.23亿元同比降14.16%,研发投入超16亿元

环球快消息!央行等六部门:培育优化重庆市碳排放权交易市场

环球微速讯:四维图新:第一大股东拟公开征集转让6.23%股份

好开又聪明的座驾是怎样练成的?瑞虎5x PLUS给你答案

天天热点评!美吉姆修正业绩预告:预计净亏损4500万元-5000万元

环球快资讯:勤上股份中期净利9355万元,已将校外培训类业务清理完毕

天天短讯!主打性能旗舰,比亚迪唐DM-p上市售28.98万起

全球快报:满帮Q2营收16.7亿元,同比增长49.3%

【世界独家】银保监会:理财公司内审部门至少每年开展内控审计评估 发挥监督制衡作用

证券投资基金与股票、债券的区别与联系在哪里?概念是什么?

基金转换费到底是什么意思?基金运营费是什么意思?

基金费用里赎回费是什么意思?巨额赎回又是什么意思?

世界观焦点:呼和浩特车主注意!收到这条短信,请赶紧挪车

环球速看:土巴兔718全民家装节收官 团购、全屋定制单量双翻倍

【新视野】首演在即 《千古马颂》邀您欣赏别样金秋美

当前关注:GMA每日黄金计划 | 美元指数持续回落,黄金剑指1780?

全球短讯!上海寺库电商公司被申请破产

天天快资讯:合创A06亮相成都车展,蔚来退出合创汽车股东行列

环球快讯:苏炳添状告新东方

全球热资讯!银行财眼|盛京银行上半年营收同比下跌5% 净利润同比下跌7.9%

最新资讯:阿里暴涨10%!港股缘何大反弹?分析师火线解读

租车GPS定位器、车贷GPS定位器、豪车GPS定位器,车辆租赁风控神器防拆抗屏蔽GPS定位系统

26周年来袭!iHerb的囤货渠道一次性告诉你!

艺术家杨烨炘宣布开建人类第一座元宇宙寺庙

“米糠油”——粮油家庭的新宠儿

一批特色非遗项目融入工业旅游 厚街腊肠制作技艺为代表

富安娜公告称购买的理财产品逾1亿到期未兑付 企业投资收益为5362.59万元

深圳地产消费首套利率降至4.6% 市民反应并不大

数藏平台玩新套路? “唯品数藏”的数字藏品平台疑似跑路

中国宏泰发展上半年收入7110万元 上年同期溢利1.035亿元

杭州商贸旅游集团发行总额人民币10亿元 票面利率3.55%

成都润泽拟募集资金对应持股比例或股份数为不超过49% 华润置地持股100%

成都高投集团公开票面利率 :20亿公司债票面利率确定为3.18%

即时焦点:欧盟报告说欧洲可能正经历500年来最严重干旱

当前播报:美国福特汽车公司将裁员3000人

【天天播资讯】山高水阔 鲁蒙情长 “齐鲁粮油”中国行推介会走进呼和浩特

环球热资讯!呼和浩特市公安局组织开展“互助自救、联动处置”群防群治演练活动

当前热点-全国推广普通话宣传周宣传作品征集中!等你来参加!

世界要闻:飞鹤信息化中心副总经理葛帅:智慧供应链解决“信息孤岛”难题,协同全链条提...

天天关注:小罐茶供应链副总芦坤:供给和需求鸿沟给茶产业互联网留出空间

全球热文:【蓝鲸·新财智】物流产业互联网:互联网赋能供应链,重塑产业

全球观天下!2030年将正式停售燃油车,哈弗全面转型新能源

环球短讯!欧洲天然气升破300欧元 继俄罗斯后美国对欧供应也出问题

同里旅游营业收入为2101.35万元 同比减少37.66%毛利率为63.79%

成都润泽:拟募集资金对应持股比例或股份数为不超过49%

长城炮品牌大型高性能豪华皮卡即将重磅亮相成都车展3.0TV6+9AT值得期待

今日最新!呼和浩特市调整2023年度城乡居民基本医疗保险个人缴费标准

【环球聚看点】相约草原享“文化盛宴”

全球今日讯!全国第二批城市一刻钟便民生活圈试点发布:呼和浩特市入选!

环球热消息:科技体验官 | 心遇APP的“金币”社交漩涡:用户花钱搭讪,掉入真心“陷阱”

世界焦点!原油再起波澜?沙特最新表态成诱因 分析师担忧四季度能源价格再度大涨

世界今亮点!80元/颗!不含茅台酒的茅台月饼,谁在交“智商税”?

每日消息!地上铁市场中心总经理金玮:城配物流正处于新能源迭代变革时期,绿电运输打造零...

世界报道:“价格战”缓和、精细化管理降本增效,德邦股份二季度利润暴增3459%

今日热议:一家银行宣布:将停止向燃油车放贷!为什么?

全球热推荐:这个世界更热了,我们的道路晒化了,因全球“气候迁移”来袭

世界快资讯:超十城鼓励团购买房,有地方政策出台一个月仍未能“成团”

滚动:美国拒绝伊朗的所有附加条件,俄罗斯海运煤炭出口中断 | Live新闻更新中

微动态丨公募“顶流”持仓曝光:“眼茅”获张坤、葛兰青睐 朱少醒继续加仓“防水茅”

当前资讯!三大航大手笔购入292架空客飞机:总价2500亿 将对公司带来何种影响?

全球速讯:谁将胜出?多个中西部城市争建创投中心,招揽GP各显神通

【全球报资讯】“美女分析师”闯进全球决赛,引发两大质疑!世界小姐官网回应

当前速讯:出口量大增,海外客户自己找上门!中国二手汽车加速“出海”

世界速看:强势美元困局,金融市场无解

世界简讯:上游“富足”、下游“吃土”,新能源车产业链利润要分化到几时?

环球最资讯丨世界小姐官网回应秦泽文参赛争议:将进行调查,如违反规定将采取适当行动

最新:交易夜读559 | 盈利系统三要素:胜率,赔率,频率

世界热议:数藏平台元镜将开放二级交易市场,依托树图公链称对标Opensea

【全球聚看点】宜家中国:兑现100亿元投资承诺 2023财年计划投资53亿

焦点报道:康佳集团2022年上半年归母净利1.73亿元,同比增长102.25%

世界看点:瑞声科技2022年Q2收入45.2亿元同比增4.6%,净利润1.45亿元同比降62.8%

环球看热讯:美股的夏日反弹来了?百亿美元资金回流 散户信心攀升

当前视点!30岁的“行业救世主”能拯救加密货币吗?

微动态丨四个月贬值7.5%,人民币汇率的跌宕时刻

世界快消息!暴跌两千亿,小鹏汽车赔本赚吆喝?

环球速递!关店1600家!美国快餐之王,正被中国路边摊吊打

当前热文:欧洲水电告急!罕见旱情下西班牙水电站蓄水量降至27年新低

当前快报:20年来最低值!欧元对美元汇率为何再刷历史纪录?

焦点速讯:俄罗斯人在这个国家购房数量激增,一个楼盘买走一半,什么情况?

天天观察:张庭夫妇相关传销案听证会排期中,所涉金额或逾100亿元