不用点击就能入侵!iPhone出现零时差漏洞,大多数版本恐受害

以色列网络情报公司NSO Group传出利用间谍软件Pegasus监控世界各地记者、维权人士的手机,震惊全球。网络安全监督组织Citizen Lab周一披露,NSO Group开发一种新工具,允许黑客使用间谍软件Pegasus入侵iPhone,且至少自2月起就一直使用,打败了苹果近年的安全系统。

Citizen Lab指出,它在一名不愿透露姓名的沙特阿拉伯活动家的手机中发现这种恶意软件,而且间谍软件已在2月份入侵至手机。目前不清楚还有多少用户也遭到入侵。

iPhone的漏洞在于iMessage自动呈现图像的方式。苹果公司表示,如果有易受攻击的设备用户收到恶意制作的PDF档,就可以利用这个漏洞入侵。目前影响的所有版本包括iOS、macOS和watchOS,除了周一最新的更新版本。

值得注意的是,预定目标不需要点击任何东西,攻击就能奏效。研究人员认为,也不会有任何明显的迹象显示正在发生黑客攻击。

不过,苹果发言人拒绝回应黑客技术是否来自NSO Group。然而,在iPhone 13系列新机亮相的前一天,苹果已经先发布 iOS 14.8,称是提供“重要的安全更新”,也建议所有的用户都应该安装。据悉,此次的版本更新其中并没有加入新功能,不难排除跟上述案件有所关联。

iMessage多次成为NSO Group和其他网络军火商的目标,促使苹果更新其架构,但这次升级并没有完全保护系统。

苹果安全工程和架构负责人Ivan Krstić在声明中表示,在识别到iMessage的漏洞后,苹果迅速在iOS 14.8中开发并部署了修复程序,目前漏洞已经修复完毕。

Citizen Lab资深研究员John Scott-Railton认为,聊天App是设备安全的“软肋”,由于这些App无处不在,成为黑客常见的攻击目标,因此保护这一部分变得更加重要,缩小黑客对App的攻击范围也有助于让设备更加安全。

(首图来源:shutterstock)