蘋(píng)果緊急發(fā)布iOS 9.3.5更新 修補(bǔ)史上最嚴(yán)重iOS漏洞

日前，蘋(píng)果以迅雷不及掩耳的速度，修補(bǔ)了iOS存在的三個(gè)重要安全漏洞，外部賣(mài)價(jià)高達(dá)一百萬(wàn)美元的攻擊工具，能夠入侵iOS操作系統(tǒng)，盜取用戶包括Facebook、WhatsApp在內(nèi)的大量隱私信息。這也是一批非常罕見(jiàn)、危險(xiǎn)的漏洞。

iOS 9.3.5修補(bǔ)史上最嚴(yán)重iOS漏洞

據(jù)今日美國(guó)報(bào)網(wǎng)站報(bào)道，蘋(píng)果對(duì)新聞界表示，在獲得相關(guān)報(bào)告之后，已經(jīng)迅速開(kāi)發(fā)出了補(bǔ)丁，蘋(píng)果希望iOS用戶能夠盡早下載最新版的iOS 9.3.5版本。

美國(guó)美聯(lián)社首先報(bào)道了這個(gè)漏洞和補(bǔ)丁的消息。據(jù)稱，基于這一漏洞的黑客工具，在一個(gè)阿聯(lián)酋異議人士的蘋(píng)果手機(jī)中被發(fā)現(xiàn)。此人接到了一個(gè)短信，誘使他點(diǎn)擊一個(gè)網(wǎng)頁(yè)鏈接。他隨后將這一信息提交給了加拿大多倫多大學(xué)的“網(wǎng)絡(luò)公民實(shí)驗(yàn)室”。

上述實(shí)驗(yàn)室的專家和美國(guó)舊金山的安全公司Lookout進(jìn)行了合作。在周四的一篇文章中，Lookout公司表示，他們發(fā)現(xiàn)了一種利用了iOS系統(tǒng)三個(gè)零日漏洞的復(fù)雜攻擊手段。

所謂零日漏洞，就是漏洞被發(fā)現(xiàn)之后，廠商沒(méi)有機(jī)會(huì)修補(bǔ)，黑客立刻實(shí)施了攻擊。

網(wǎng)絡(luò)公民實(shí)驗(yàn)室認(rèn)為，上述的惡意鏈接來(lái)自于以色列一家惡意軟件制作公司NSO集團(tuán)，該公司對(duì)外銷售名為Pegasus的攻擊工具。奇怪的是，這家惡意軟件制作工具背后，卻有美國(guó)風(fēng)險(xiǎn)投資公司的支持。

據(jù)悉，利用這一漏洞的攻擊工具價(jià)格高昂，售價(jià)高達(dá)一百萬(wàn)美元。利用這些漏洞，黑客可以入侵iOS設(shè)備，獲得各種應(yīng)用軟件的重要信息，比如Facebook、WhatsApp、FaceTime、Gmail或是日歷工具。

Lookout公司的一位安全專家表示，考慮到蘋(píng)果此次快速開(kāi)發(fā)補(bǔ)丁的速度，這一安全漏洞的確十分危險(xiǎn)。

該公司證實(shí)說(shuō)，網(wǎng)絡(luò)公民實(shí)驗(yàn)室首先發(fā)現(xiàn)了這個(gè)漏洞，然后在幾周前提交給了蘋(píng)果公司。

據(jù)報(bào)道，相關(guān)惡意軟件一旦在蘋(píng)果手機(jī)上成功安裝，將能夠檢索各種重要數(shù)據(jù)，比如照片、通訊錄、個(gè)人便簽等。惡意軟件甚至能夠開(kāi)啟麥克風(fēng)，錄制外部對(duì)話，然后將其發(fā)送給攻擊者。

安全專家指出，這次事件進(jìn)一步表明，在盜取用戶敏感數(shù)據(jù)方面，智能手機(jī)正在成為一個(gè)機(jī)會(huì)良多的黑客“沃土”。

另外一家機(jī)構(gòu)的專家分析稱，這次爆出的三個(gè)漏洞，可能已經(jīng)存在了至少三年時(shí)間。之前也許其他的用戶，可能因?yàn)檫@些漏洞而遭到攻擊。

斯坦福大學(xué)的網(wǎng)絡(luò)安全研究員Herb Lin則表示，操作系統(tǒng)的漏洞被黑客利用，開(kāi)發(fā)攻擊工具，然后被一些不良的機(jī)構(gòu)用于監(jiān)控某些人，這其實(shí)并不出乎意料。目前有許多公司和機(jī)構(gòu)存在于一個(gè)灰色市場(chǎng)中。

蘋(píng)果已經(jīng)意識(shí)到了iOS所面臨的安全風(fēng)險(xiǎn)，本月初，蘋(píng)果推出了公司歷史上第一個(gè)有獎(jiǎng)捉蟲(chóng)計(jì)劃，對(duì)于重大漏洞，蘋(píng)果將給外部安全人士獎(jiǎng)勵(lì)20萬(wàn)美元。