立刻更新你的苹果设备!苹果被曝两大安全漏洞,无需交互就能被植入间谍软件

新闻 安全
只需要利用这些漏洞,黑客就可能打开你的麦克风记录对话,还能专挑你充电的时候悄悄窃取你的数据,确保耗电量不会被发现。

本文经AI新媒体量子位(公众号ID:QbitAI)授权转载,转载请联系出处。

不要犹豫,立刻更新你的苹果设备!

就在这两天,一家安全组织发现了苹果设备的2个最新漏洞,平板、手机、电脑等都受影响——

例如搭载iOS 16.6版本的iPhone手机,以及新版本的iPad平板、Mac电脑和Apple Watch苹果手表等。

只需要利用这些漏洞,黑客就可能打开你的麦克风记录对话,还能专挑你充电的时候悄悄窃取你的数据,确保耗电量不会被发现。

全程无需用户做出任何交互,例如下载APP、或是点开某个邮件。

图片

目前苹果官方已经下发了这两个漏洞的修复版本,点击就能安装。

图片

所以,这两个漏洞究竟是怎么一回事?

无需交互就能被攻击

这两个漏洞,属于被苹果官方发现前已被黑客利用的零日漏洞

加拿大多伦多大学的Citizen Lab的研究人员发现了这两个漏洞,当时黑客已经利用它们,给一台iPhone设备上植入了一种名叫Pegasus的间谍软件。

图片

这个软件不仅能窃取私人信息如照片,还能悄悄打开麦克风并记录对话,甚至跟踪行动和记录文本等。

虽说一些恶意软件可以通过明显增大的手机耗电量、或是未知来源的APP发现,但Pegasus更“智能”一点,可以选择在夜间或是充电时悄悄收集数据。

(据商业内幕介绍,亚马逊CEO贝佐斯曝出婚外情的事件,似乎就是黑客利用Pegasus“黑”了他的手机,并曝光了设备数据。)

图片

不过,这两个漏洞更严重一些,因为它甚至无需与用户互动,就能直接被植入最新版本iOS的iPhone手机。

这两个漏洞分别被命名为CVE-2023-41064和CVE-2023-41061。

CVE-2023-41064涉及苹果的Image I/O框架,影响范围包括iPhone、iPad、Mac电脑和苹果手表,当设备处理“恶意制作的图像”时,就可能会被攻击。

CVE-2023-41061出现在苹果钱包功能中,只要设备接收到“恶意制作的附件”,就会导致安全问题。

目前,苹果已经及时修复了这2个漏洞,并发布了一版更新版本。

图片

建议更新并启用“锁定模式”

修复补丁被放在各系统的版本更新中,包括macOS的13.5.2版本、iOS和iPadOS的16.6.1版本、以及watchOS的9.6.2版本。

图片

现在,Mac和iPhone等苹果设备上已经能收到更新提醒。

图片

值得注意的是,这两个漏洞不属于苹果发布的快速安全响应(Rapid Security Response),即可以随时更新并被移除的补丁。

相比之下,它被加入到了常规的系统更新中,安装完后不能回退到之前的版本。

同时苹果还给出建议,如有必要可以开启锁定模式,能很好地防止这类漏洞的攻击。

图片

锁定模式,是苹果在iOS和iPadOS 16以及macOS Ventura中推出的一种“为极少数苹果用户设计”的保护模式,这些用户往往会因为工作等原因被黑客盯上。

开启后,用户在使用苹果设备上的某些App、浏览网站和功能时会严格受限,确保设备安全性:

图片

不过对于锁定模式这个建议,网友们倒是有不同的看法。

有网友认为,锁定模式早就不应该限制目标受众了,大伙儿最好都用用

它不仅能减少不必要的后台运行,还能节省电池电量。

图片

但也有网友认为,开了锁定模式后使用一些功能确实不太方便,例如导致网页加载速度变慢

普通用户受到攻击的风险没那么高。苹果不如再创建第三种模式,当涉及安全保护降低性能的操作时,让用户可以选择“要安全”还是“要性能”。

图片

你用过苹果的锁定模式吗?感觉效果如何?

责任编辑:张燕妮 来源: 量子位
相关推荐

2014-12-24 12:34:48

2022-08-22 10:08:37

内核漏洞安全苹果

2014-02-25 15:12:07

2015-08-26 10:14:29

2022-08-21 15:52:12

安全苹果漏洞

2009-02-03 09:01:40

2021-01-27 15:17:38

漏洞网络安全程序员

2014-09-26 09:02:49

2015-05-08 12:11:14

2015-03-26 12:14:02

iOS漏洞苹果手机手机安全

2021-09-16 05:42:21

苹果安全更新零日攻击

2010-08-25 11:05:03

2022-08-22 13:27:25

漏洞网络安全

2023-07-29 13:19:52

2020-10-23 11:13:39

漏洞网络安全网络攻击

2019-02-21 10:11:49

2021-12-30 15:18:18

安全漏洞攻击身份验证

2024-03-29 15:34:37

2017-11-30 07:49:52

Win10Mac漏洞

2014-01-02 13:36:24

点赞
收藏

51CTO技术栈公众号