据媒体报道,苹果公司在周三(8月17日)发布了两份安全报告,承认公司的智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重的安全漏洞。
公开信息查询显示,该漏洞报告时间为 2022年6月9日,漏洞编号分别是CVE-2022-32894和CVE-2022-32893,主要影响以下两部分:
- 内核:应用程序或许能够以内核权限执行任意代码。
- Webkit:处理恶意制作的网页内容可能会导致任意代码执行。
值得注意的是,这些漏洞一旦被利用,黑客可直接获得设备的管理权限。苹果也指出,该漏洞很大可能已经被利用,强烈督促用户更新系统修复漏洞。
苹果公司之所以如此急迫,其原因在于此次漏洞的危害性非同小可。
根据其发布的两份报告内容,几乎所有的苹果设备都会受到影响。其中手机受影响型号最早可追溯到2015年发布的iPhone 6S,这意味着几乎市面上所有在使用的iPhone都面临着该漏洞的威胁。受影响的iPad则是2017年发布的第五代及后续版本,iPad mini4及后续机型,所有的iPad Pro版本、iPad Air2、iPodtouch(第7代)等产品。电脑端受影响则是所有运行MacOS Monterey的Mac;浏览器方面包括macOS Big Sur和macOS Catalina。
由此可见该漏洞的恐怖之处,其威力几乎可以和软件后门相媲美。
随后,“苹果曝出严重安全漏洞”消息迅速冲上了各社交平台的热搜榜,并喜提微博热搜榜第一,引无数网友纷纷参与讨论。不少网友对于苹果的安全性表示担忧,毕竟一向以安全著称的苹果设备,竟然在一个漏洞面前接近于全军覆没。
同时,由于该漏洞披露时间晚于黑客利用时间,因此有网友表示“感到非常不安”,有的甚至担心自己的隐私信息已经被泄露,而自己对此一无所知。但有专家表示无需太过担忧,黑客几乎不怎么会对普通人的信息“感兴趣”,也不会耗费时间精力进行“监控”。
对此有网友表示“不知该笑还是该哭”,“无价值”反而成为普通人保护个人隐私的最佳防御措施。
漏洞正在成为苹果产品的常态
近年来,随着苹果产品市场占有率持续上升,其曝出的安全漏洞数量也呈现出上升趋势,并且漏洞危险性也在不断增加。仅2020年和2021年期间,已经公布的零日漏洞高达数十个。
例如2020年4月,苹果曝出默认邮件程序中存在两个0day漏洞,利用该漏洞攻击者可在多个版本的iOS系统上实现远程代码执行,影响范围波及全球超十亿部苹果设备。
据悉,两个漏洞已存在8年之久,从iOS6到当前的iOS13.4.1均被波及,更为可怕的是,至少在2018年1月起多个组织已经开始利用这两个在野零日漏洞发动针对性攻击,北美、日本、德国、沙特、以色列等多个国家的企业高管首当其冲,而用户几乎无法察觉到异常的存在。截止目前,苹果官方已承认此次漏洞事件,表示已开发修复程序,并会尽快推出安全更新。
2021年7月,苹果曝出一个高危漏洞,据Amnesty International发布的报告称,用户无需点击任何链接或APP,攻击者可通过间谍软件来窃取iPhone上的敏感数据。
报告指出,iPhone如果感染NSO Group的Pegasus恶意软件,攻击者就能窃取信息和邮件,甚至可以控制手机麦克风摄像头。有些政府部门会使用NSO Group软件,黑客可以用苹果不知道的方法窃取数据,即使iPhone软件保持在最新状态,也无法阻止使用昂贵机密间谍软件的攻击者。
2021年10月,苹果曝出一个重磅零日漏洞,漏洞编号CVE-2021-30883。据苹果公司的发布的安全报告,该漏洞允许应用程序以内核权限执行任意代码。受影响的产品包括iPhone6及更高版本、iPad Pro(所有型号)、iPad Air2及更高版本、iPad第5代及更高版本、iPad mini4及更高版本,以及iPod Touch(第7代)。值得一提的是,在被修复之前,该漏洞已经被攻击者利用,且安全人员构建了PoC测试。
可以预见的是,随着越来越多的攻击者盯上苹果公司,其智能产品还将继续曝出更多安全漏洞,这是无法避免的结果。但更重要的是,苹果公司能否有快速的反应时间,足够的技术实力,来快速修复这些漏洞,这才是苹果公司安全与否的关键所在。
毕竟绝对的安全并不存在,安全和不安全一直处于动态变化之中,也希望苹果公司能够一如既往强化安全属性,正如其官网上所宣传的那样“生产市场上最安全的移动设备”。