苹果修补史上最严重iOS漏洞 百万美元攻击工具能暗中开启麦克
日前,苹果以迅雷不及掩耳的速度,修补了iOS存在的三个重要安全漏洞,外部卖价高达一百万美元的攻击工具,能够入侵iOS操作系统,盗取用户包括Facebook、WhatsApp在内的大量隐私信息。这也是一批非常罕见、危险的漏洞。
据今日美国报网站报道,苹果对新闻界表示,在获得相关报告之后,已经迅速开发出了补丁,苹果希望iOS用户能够尽早下载最新版的9.3.5版本。
美国美(微博)联社首先报道了这个漏洞和补丁的消息。据称,基于这一漏洞的黑客工具,在一个阿联酋异议人士的苹果手机中被发现。此人接到了一个短信,诱使他点击一个网页链接。他随后将这一信息提交给了加拿大多伦多大学的“网络公民实验室”。
上述实验室的专家和美国旧金山的安全公司Lookout进行了合作。在上周四的一篇文章中,Lookout公司表示,他们发现了一种利用了iOS系统三个零日漏洞的复杂攻击手段。
所谓零日漏洞,就是漏洞被发现之后,厂商没有机会修补,黑客立刻实施了攻击。
网络公民实验室认为,上述的恶意链接来自于以色列一家恶意软件制作公司NSO集团,该公司对外销售名为Pegasus的攻击工具。奇怪的是,这家恶意软件制作工具背后,却有美国风险投资公司的支持。
据悉,利用这一漏洞的攻击工具价格高昂,售价高达一百万美元。
据悉,利用这些漏洞,黑客可以入侵iOS设备,获得各种应用软件的重要信息,比如Facebook、WhatsApp、FaceTime、Gmail或是日历工具。
Lookout公司的一位安全专家表示,考虑到苹果此次快速开发补丁的速度,这一安全漏洞的确十分危险。
该公司证实说,网络公民实验室首先发现了这个漏洞,然后在几周前提交给了苹果公司。
据报道,相关恶意软件一旦在苹果手机上成功安装,将能够检索各种重要数据,比如照片、通讯录、个人便签等。恶意软件甚至能够开启麦克风,录制外部对话,然后将其发送给攻击者。
安全专家指出,这次事件进一步表明,在盗取用户敏感数据方面,智能手机正在成为一个机会良多的黑客“沃土”。
另外一家机构的专家分析称,这次爆出的三个漏洞,可能已经存在了至少三年时间。之前也许其他的用户,可能因为这些漏洞而遭到攻击。
斯坦福大学的网络安全研究员Herb Lin则表示,操作系统的漏洞被黑客利用,开发攻击工具,然后被一些不良的机构用于监控某些人,这其实并不出乎意料。目前有许多公司和机构存在于一个灰色市场中。
苹果已经意识到了iOS所面临的安全风险,本月初,苹果推出了公司历史上第一个有奖捉虫计划,对于重大漏洞,苹果将给外部安全人士奖励20万美元。
Q:苹果 iOS 安全漏洞有哪些具体表现?
A:目前文档中未明确提及具体表现。
Q:苹果 iOS 安全漏洞是何时被发现的?
A:目前文档中未明确提及发现时间。
Q:这些安全漏洞会对用户造成哪些危害?
A:目前文档中未明确提及危害。
Q:苹果公司对这些安全漏洞采取了哪些修复措施?
A:目前文档中未明确提及修复措施。
Q:安全漏洞影响了哪些版本的 iOS 系统?
A:目前文档中未明确提及受影响版本。
Q:发现苹果 iOS 安全漏洞的是哪些人或机构?
A:目前文档中未明确提及发现者。
Q:安全漏洞是否已经被黑客利用?
A:目前文档中未明确提及是否被利用。
Q:苹果公司对安全漏洞的反应速度如何?
A:目前文档中未明确提及反应速度。
Q:用户如何知道自己的设备是否受到安全漏洞影响?
A:目前文档中未明确提及判断方法。
Q:安全漏洞会影响到苹果设备的哪些功能?
A:目前文档中未明确提及影响功能。
Q:此次苹果 iOS 安全漏洞是如何被发现的?
A:基于这一漏洞的黑客工具在一个阿联酋异议人士的苹果手机中被发现,此人将信息提交给了加拿大多伦多大学的“网络公民实验室”,该实验室与美国旧金山的安全公司 Lookout 合作发现了漏洞。
Q:漏洞存在了多长时间?
A:有专家分析称,这次爆出的三个漏洞可能已经存在了至少三年时间。
Q:利用漏洞的攻击工具有多贵?
A:售价高达一百万美元。
Q:漏洞被利用会有哪些危害?
A:黑客可以入侵 iOS 设备,获得各种应用软件的重要信息,还能检索照片、通讯录等数据,开启麦克风录制外部对话并发送给攻击者。
Q:苹果针对漏洞采取了什么措施?
A:苹果迅速开发出补丁,希望 iOS 用户尽早下载最新版的 9.3.5 版本。
Q:恶意链接来自哪里?
A:网络公民实验室认为恶意链接来自于以色列一家恶意软件制作公司 NSO 集团。
Q:苹果的有奖捉虫计划奖励多少?
A:对于重大漏洞,苹果将给外部安全人士奖励 20 万美元。
Q:漏洞被发现后厂商有多少时间修补?
A:所谓零日漏洞,就是漏洞被发现之后,厂商没有机会修补,黑客立刻实施了攻击,但此次苹果迅速开发出了补丁。
Q:哪些应用软件的信息可能被窃取?
A:比如 Facebook、WhatsApp、FaceTime、Gmail 或是日历工具等应用软件的重要信息可能被窃取。
Q:恶意软件制作工具背后有谁支持?
A:奇怪的是,这家恶意软件制作工具背后有美国风险投资公司的支持。