世界热消息:苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?
(资料图片)
本报记者 李玉洋 李正豪 上海报道
iPhone14即将发布,0day(在网络安全界通常是指没有补丁的漏洞利用程序)级别漏洞盖在了苹果头上。
近日,苹果公司被曝出旗下的手机、平板、电脑等硬件产品存在严重安全漏洞,而这些漏洞可以让黑客轻松获得设备的“完全管理权限”,并以他们的名义运行任何软件。目前苹果并未对外透露该漏洞的更多详情,仅表示是由一名匿名研究人员发现了这一漏洞。
“0day级别漏洞是说刚刚被发现、还没有被公开的漏洞,威胁很大。”民间互联网安全组织网络尖刀安全团队成员沦沦告诉《中国经营报》记者,鉴于苹果自身很注重安全漏洞方面的问题,出现0day级别漏洞实属“比较少见”,但该漏洞还不是天花板级别,建议苹果用户及时升级系统。
360漏洞研究院人士也向记者表示,这次漏洞影响非常广泛,几乎影响苹果所有的设备,如iPhone、iPad、Mac等,但“从历史攻击事件来看,针对苹果设备的攻击主要集中在特定的高价值人群或者某些特定组织,所以对普通用户来说,及时更新系统,不随意点击未知的链接,还不需要太过于紧张”。
对于此次漏洞是否已被利用、造成损失以及将来如何应对类似漏洞等问题,记者联系苹果中国方面,截至发稿未获答复。不过目前苹果公司公开声称已经找到相应的解决方法,同时呼吁用户立刻下载最新更新,以修补漏洞。
漏洞已被利用
据了解,受本次漏洞影响的设备涵盖了手机、平板、电脑“苹果三件套”:手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad、所有的iPad Pro以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。
“我们从公开的信息看,该漏洞主要利用的是Apple WebKit代码执行漏洞(CVE-2022-32893)和Apple Kernel权限提升漏洞(CVE-2022-32894)。”沦沦表示,Apple Webkit是浏览器引擎,被使用在Safari、Mail、App Store、iOS和Linux,Apple Webkit在处理恶意制作的Web内容可能会导致任意代码执行,简单来说,Apple内核存在本地权限提升漏洞,“通过越界读写,成功利用该漏洞可以将本地用户权限提升至内核权限,并以内核权限执行任意代码”。
需要指出的是,CVE指的是通用漏洞披露(Common Vulnerabilities and Exposures)。对于该漏洞的解析,深度科技研究院院长张孝荣则形象地称之为相当于给了黑客一把万能钥匙,随时可以出入用户的终端。
沦沦还表示,目前国内已经有多个安全团队发现该漏洞已经被利用的情况,即外部已有攻击组织在利用这类漏洞。“目前看各大安全厂商的反馈(该漏洞)还没有大范围扩散,漏洞细节也还未进行公开。”他说。
在所发布的安全更新中,苹果表示该漏洞可能已被用于攻击行为。“这就是我们所说的零日漏洞(0day漏洞),也就是在公司发现并能够做出回应之前,已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司(Mandiant)的高级威胁情报顾问杰米・科利尔(Jamie Collier)说。
在前述360漏洞研究院人士看来,虽然苹果在声明中用了“可能”两字,但结果上和逻辑上已经说明该漏洞被“利用”了,此次苹果不仅修复了这两个漏洞,还针对攻击方法引进了新的防护措施,从而加大了相似漏洞的攻击难度。
安全考验仍在
张孝荣指出,虽然苹果终端里的系统漏洞相对Windows要少很多,但随着苹果用户的增长,苹果系统日益成为黑客攻击的目标,安全漏洞问题也愈发严重起来。事实上,苹果历史上出现过多次影响重大的漏洞。
“比如2016年的三叉戟漏洞,跟本次修复的漏洞相似,也是通过苹果设备自带的浏览器作为攻击入口,只需要点击恶意链接就可以攻击到内核并接管设备;还有2021年的FORCEDENTRY漏洞,这应该是苹果历史上影响最大的漏洞,因为受害者不需要任何点击,攻击者只需要通过发送iMessage信息到受害者手机上,就可以完成攻击。”前述360漏洞研究院人士说。
有一种观点指出,黑客利用这个漏洞就能在用户不需要点击任何链接的情况下让用户的iPhone中招。对此,前述360漏洞研究院人士指出,黑客想要利用此次漏洞入侵苹果设备还是需要受害者点击链接的,“因为从这次苹果的安全公告来看,苹果修复了这两个漏洞,一是浏览器漏洞,二是内核漏洞,这两个漏洞形成了一个完整的攻击链,受害者只需要点击黑客发送的恶意链接,黑客就能接管苹果设备”。
沦沦认为需要交互。“除非是在同一个局域网,攻击者利用了特定的劫持手段把正常网站比如百度篡改为漏洞EXP,这样用户只要访问了百度就可以直接触发漏洞。”他指出,黑客利用该漏洞的攻击途径包含在局域网内进行扩散,比如同一个WiFi下的ARP(地址解析协议)欺骗植入这种漏洞,或者通过邮件、短信等钓鱼方式让用户点击存在漏洞的链接。
记者注意到,8月17日和18日,苹果中国官方密集发布系统更新,包含iOS 15.6.1、iPadOS 15.6.1、MacOS Monterey 12.5.1、watchOS 8.7.1以及Safari 浏览器 15.6.1。从更新提示看,以上软件均与安全性有关,苹果也提醒所有用户尽快安装。
前述360漏洞研究院人士指出,该漏洞实际上是新漏洞老手法,攻击方式上没有过于特别的东西,但值得重视的是,近几年苹果公司引入了非常多而且有效的安全防护措施,不断加大攻击难度,在业界也引起了广泛的关注,并且得到广大安全从业者的赞誉,“在这种情况下依然不断出现在野漏洞攻击事件,对苹果公司来说是重大的考验和挑战”。
对普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当iPhone等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。不过,沦沦建议广大用户不要对数字安全和隐私保护放松戒备。
“现在信息泄露这么严重,别人拿到你的信息很容易,如果这个漏洞大范围公开的话,应该会有黑产对信息泄露的一大批人下手,比如批量给他们发短信或邮件信息,诱骗去点击。”因此,他强烈建议广大数字产品用户不要点击来历不明的链接、不要访问一些恶意网站以及公开免费WiFi尽量不要去使用。
相关阅读
-
08-29
-
08-26
推荐阅读
-
世界热消息:苹果曝出严重安全漏洞 相当于给了黑
本报记者李玉洋李正豪上海报道iPhone14即将发布,0day(在网络安全界通常是指没有补丁的漏洞利用程序)级别漏洞盖在了苹果头上。近日,苹果公更多
2022-08-29 08:01:43
-
看热讯:形机器人落地难 量产还要5-10年?
尽管没有量产计划,且成本高达六七十万元,但小米的“造人”计划还是引爆了资本市场,多只概念股持续井喷,多家券商接连发报告推荐起产业链上更多
2022-08-29 08:09:13
-
全球热资讯!中国移动USIM卡产品第二次班车集采:
从中国移动官网获悉,中国移动日前公示了2022-2023年USIM卡产品第二次班车集采结果,楚天龙、恒宝、武汉天喻等6家中标。根据中国移动的评审结更多
2022-08-28 21:09:02
-
实时:第四大运营商 中国广电:超300款手机支持7
8月28日消息,日前,中国广电以基础电信业务运营商的身份首次亮相2022中国国际智能产业博览会。官方表示,作为中国广电5G商用的核心内容,中国更多
2022-08-28 19:59:17
-
世界快消息!2022中国联通智慧文旅产业峰会在江西
8月26日,2022中国联通智慧文旅产业峰会暨第五届“绽放杯”5G应用征集大赛智慧文旅专题赛(智慧旅游)颁奖盛典在江西南昌举行。本次峰会由中国更多
2022-08-27 20:01:35
-
当前资讯!中国移动携手中兴通讯及合作伙伴完成全
8月26日,在中兴通讯举办的5G-Advanced产业发展峰会上,中国移动研究院携手中兴通讯、交通运输通信信息集团、中国移动北京公司等产业伙伴共同更多
2022-08-26 20:11:54
-
新资讯:中国移动高同庆副总经理出席第六届未来网
第六届未来网络发展大会8月24日至25日在南京举行。中国移动高同庆副总经理出席大会,并作了题为“新范式、新网络、新未来”的主旨发言,分享了更多
2022-08-26 17:10:12
-
热资讯!亨鑫科技2022上半年营收10.18亿元,同比
飞象网讯(马秋月 文)日前,亨鑫科技发布2022上半年财报。财报显示:亨鑫科技上半年营业收入10 18亿元,同比增长99 0%;权益股东应占纯利约30更多
2022-08-26 17:06:38
时尚热图
热门标签
索尼将调整PS5价格 ...
微信PC版推送3.7.6版...
版权现在都是这么用的...
鸿海旗下斯洛伐克车用...
中国游戏厂商出海收入...
InternetExplorer正式退役
微软推出新的Defender...
面板领域分析师:苹果...
多家媒体提前获得iPho...
苹果在macOSVentura上...
《原神》2.2版本大更...
LOL:他们几个很强,...
LOL手游值得练习的6个...
王者荣耀:孙行者上架...
雅典娜18888金币英雄...
《英雄联盟手游》正式...
《堡垒之夜》被苹果拉...
mazon Games宣布他们...
PowerA主题手柄:续航...
银行股终于有了起色 ...
-
今日必看
-
精彩话题
-
资讯播报
- 看热讯:形机器人落地难 量产还要5-10年?
- 世界热消息:苹果曝出严重安全漏洞 相当于给了黑客一把万能钥匙?
- 短讯!前苹果高管加盟Lucid,助力解决软件问题
- 【环球快播报】欧洲7月电动汽车销量同比下滑5%
- 全球速讯:WNEVC 2022 | 华人运通李谦:汽车智能化带来用户体验感的提升和行业技术的颠覆
- 全球看热讯:WNEVC 2022 | 汽车之家周游:新能源用户充电第二消费空间
- 焦点观察:WNEVC 2022 | 达索杨冬:数字化平台助力智能电动汽车技术创新
- 视焦点讯!WNEVC 2022 | 中国电动重卡换电产业促进联盟李立国:重卡换电互换性技术进展和展望
- 全球快讯:国轩高科2022上半年营收86.38亿,海外增长358.28%
- 全球热资讯!中国移动USIM卡产品第二次班车集采:楚天龙、恒宝、武汉天喻等6家中标
- 实时:第四大运营商 中国广电:超300款手机支持700MHz黄金频段
- 全球视点!小智一周要闻 | 上汽与OPPO合作再升级;高通智驾方案国内首发上车
- 每日速看!E周看点丨麒麟电池首搭极氪、问界;广汽埃安A轮融资正式挂牌
- 天天热门:WNEVC 2022 | 上海峰飞航空科技有限公司田瑜:电动垂起 改变世界
- 环球热点评!道简优行车队:期待在山城极限挑战赛中挑战自我极限
- 天天观速讯丨WNEVC 2022 | 清华大学教授曲小波:陆空协同智能交通系统
- 【环球聚看点】WNEVC 2022 | 亿航智能设备蒋瑜涛:智慧空中城市--城市空中交通UAM应用
- 当前动态:WNEVC 2022 | 小鹏汇天赵德力:飞行汽车面临的技术突破和创新
- 焦点快看:WNEVC 2022 | 德国亚琛工业大学教授Peter Jeschke致辞
- 观焦点:WNEVC 2022 | 徐长明:中国新能源汽车市场发展洞察
- 当前快播:无畏·征服 豪华电动越野品牌猛士正式发布
- 今日热门!广汽丰田全明星阵容登陆蓉城,TNGA双擎混动成热门之选
- 当前速递!长安汽车朱华荣:中国已经初步具备停售燃油车的基本条件
- 【当前热闻】WNEVC 2022 | 联合国Achim STEINER:气候与自然必须成为未来商业决策的核心考量
- 【环球快播报】WNEVC 2022 | LG新能源高级副总裁申榮埈主题演讲
- 天天观热点:WNEVC 2022 | 日产汽车中畔邦雄:面向碳中和的日产电动化战略
- 世界快消息!2022中国联通智慧文旅产业峰会在江西南昌举办
- 天天精选!WNEVC 2022 | 北京交通大学教授贾利民:交通能源融合的模式、形态、路径
- 资讯:现代汽车集团亮相2022世界新能源汽车大会
- 速讯:宁德时代麒麟电池首发落地车型官宣极氪009
- 今日视点:WNEVC 2022 | 海卓动力谢佳平:燃料电池汽车商业化模式探索
- 天天滚动:WNEVC 2022 | 壳牌保罗·博格斯:氢气是最好的净零解决方案
- 【当前热闻】上海发文支持临港新片区氢能产业发展
- 报道:WNEVC 2022 |锚点蔚来汽车环境健康安全和质量学院负责人臧海菲:蔚来低碳实践
- 最新:小鹏汽车专利可扫码灯效图像通知挪车 避免车主信息泄露
- 今热点:WNEVC 2022 | 庄信万丰 (上海)化工有限公司氢能科技 (中国)(总经理) 高咏梅:燃料电池与电解水催化技术解决方案
- 百事通!杭州十年间私人汽车拥有量翻番:平均1.5户家庭有1辆
- 【播资讯】吉利汽车完成4亿美元定期贷款融资协议 加速新能源转型
- 环球播报:王者之师,巅峰进阶 江铃福顺成都车展荣耀上市,11.49万元起售
- 全球报道:兰博基尼汽车公司携Urus Performante亮相第25届成都国际汽车展览会
- 头条:年轻人值得购买的第一台车——欧尚X5 PLUS正式亮相
- 【全球新要闻】腾讯驾驶风险提示专利获授权
- 环球今头条!WNEVC 2022 | 英国商业、能源和工业战略部国际气候行动司副司长WEBBER Ed:加速全球向零排放汽车转型
- 每日快看:WNEVC 2022 | 北京交通发展研究院节能减排中心主任刘莹:中国特大城市全面电动化目标与实现路径
- 每日视点!中国影豹混动版与银河战机版量产车亮相,打开轻跑的多种可能
- 焦点日报:WNEVC 2022 | 交通运输部科学研究院城市交通与轨道交通研究中心副主任刘好德:面向碳中和的中国城市公交电动化转型经验与发展思考
- 全球热资讯!让世界留下中国味道 哪吒汽车发布“品牌态度:勇者不孤,哪怕路远”
- 当前资讯!中国移动携手中兴通讯及合作伙伴完成全球首个运营商5G NTN技术外场验证
- 每日热议!高性能、超豪华、超好玩:大型高性能豪华皮卡山海炮成都车展全球首秀
- 前沿资讯!WNEVC 2022 | CHJU Bart BIEBUYCK:欧洲氢产业加速发展
- 世界速递!江铃福顺成都车展荣耀上市,11.49万元起售
- 今日讯!全球车MG MULAN 于8月27日开启预售 黑标MG7公众首秀
- 当前焦点!从心出发 有梦捷达 捷达品牌携新捷达SUV高光版亮相成都车展
- 当前资讯!松下拟投40亿美元在美国再建一座电池厂
- 全球最资讯丨WNEVC 2022 | 中国科学院物理研究所研究员李泓:交通储能技术体系
- 讯息:20万以内唯一搭载NGP功能的燃油车型 “冠军座驾”全新第三代荣威RX5震撼登陆成都车展
- 焦点热文:豪华硬派全尺寸SUV“领地”成都车展全球首发,与用户共创“不设限”硬派人生!
- 当前简讯:抢占22万元-28万元SUV市场,家庭用户首选,护卫舰07成都车展首秀
- 每日速看!售价21.88万元起 极狐汽车携三款新车型登陆成都国际车展
- 新资讯:中国移动高同庆副总经理出席第六届未来网络发展大会并作“新范式、新网络、新未来”主旨发言
- 全球看点:国家西部算力产业联盟成立
- 环球热点评!中国移动启动非骨架式带状光缆产品集采 约986.33万芯公里
- 热资讯!亨鑫科技2022上半年营收10.18亿元,同比增长99.0%
- 时讯:特发信息2022年上半年净利润9256万元 同比上升 640%
- 全球新消息丨WNEVC 2022 | 广汽研究院(动力总成技术研发中心副主任)祁宏钟:广汽钜浪混动模块化架构及产品介绍
- 环球头条:重磅新车全球首发 柠檬混动实力圈粉 全新哈弗闪耀成都车展
- 全球热文:WNEVC 2022 |生态环境部环境规划研究院副院长严刚:工业环保分级管理促进中重型商业车绿色低碳发展思考
- 世界快看:WNEVC 2022 | 交通运输部规划研究院副院长徐洪磊:中国货运零排放车辆示范应用案例
- 环球看热讯:太原移动反诈知识进校园 护航莘莘学子
- 当前热讯:南通移动:适老服务,他们“移”直在行动
- 全球看热讯:中国移动发布全球首款2.6GHz 5G一体化家庭基站
- 每日视点!中信科移动助力大兴安岭旅游产业发展大会通信保障
- 焦点热文:中国移动高同庆:通过“三革新”推进5G-A技术创新和业态繁荣
- 天天热文:奇瑞汽车亮相成都车展 多维出击展现全新形象
- 全球热消息:零跑C01高性能暗夜极光版领衔 零跑携全系阵容亮相成都车展
- 播报:腾势品牌首款中型SUV概念车成都车展全球首秀,再定义新豪华市场风向标
- 当前热议!WNEVC 2022 | 中国工程院院士严新平:水运交通与新能源融合的路径与前景
- 快看点丨WNEVC 2022 | 浙江吉利动力总成研究院(副院长)林霄喆:吉利雷神智擎Hi·X混动系统简析
- 索尼将调整PS5价格 微软、任天堂等大厂将加入涨价大军
- 微信PC版推送3.7.6版本更新 正式推出聊天记录迁移功能
- 天天视讯!鹤壁联通落实“13710”助推作风改进
- 当前速读:中国移动发布全球首款 2.6GHz 5G 一体化家庭基站
- 环球短讯!辽宁电信以汛为令筑牢通信堤坝
- 【报资讯】临港新片区成立三周年 上海移动为临港新片区高质量发展注入数智动能
- 每日头条!广州移动助力居民享受智慧社区信息化红利
- 天天视点!暂定年底发布,比亚迪将发布高端品牌&首款硬派越野车
- 世界热资讯!奔驰EQE上市,传统车企豪强与造车新势力该如何选?
- 环球视点!零边界 不设限 极氪001惊艳成都车展
- 世界热议:上汽回应:不会造手机,将与OPPO联手打造“生态域”
- 天天消息!广汽集团设电池公司,开展自主电池产业化建设
- 国网甘肃电科院研发 大规模新能源电站多层级智能化控制技术
- 短讯!EV早报|图森未来或与吉利开启L4级自动驾驶卡车量产项目;协鑫集团与宁德时代拟在重卡换电及电池回收等领域展开全面合作;交通部:今年内全国大部分高速公路服务区将提供基本充电服务
- 世界即时:“招培服”水土不服?新旧模式博弈下的广西新能源物流车市场调查
- 环球热讯:工信部:支持开发超长寿命高安全性储能锂离子电池
- 【环球播资讯】比亚迪准备推出起步价百万元的高端新能源汽车品牌
- 环球快讯:韩国公平委批准KG集团收购双龙汽车
- 【天天新要闻】广电5G卡上线两个月后终于支持“行程码”了,但还有BUG
- 世界播报:顺应支付行业转型变革 年内支付宝等密集“换帅”
- 【环球报资讯】北京已支持小米科技等7家领军企业组建创新联合体
- 【环球播资讯】把脉IP网络演进:构建开放服务互联网络