最新消息:

快更新iOS! 蘋果用戶安全出現漏洞... 不用點擊就能入侵

   2021-09-15 10:27 邱瀅軒 點閱:0


多倫多大學公民實驗室研究人員指出,以色列一家網路情報公司NSO Group傳出利用間諜軟體Pegasus,偷偷侵犯用戶的iPhone,網路安全監督組織Citizen Lab揭露,NSO Group開發一種新工具,允許駭客使用間諜軟體Pegasus入侵iPhone,且至少自2月起就一直使用,打敗了蘋果近年的安全系統。


即使用戶未點擊連結,也沒有開啟任何文件,只要收到檔案就能侵入裝置。(圖/Pixabay)


iPhone的漏洞在於iMessage自動呈現圖像的方式,蘋果公司表示,如果有易受攻擊的設備用戶收到惡意製作的PDF檔,就可以利用這個漏洞入侵,令人憂心的是,這種惡意軟體為「零點擊」攻擊,即使用戶未點擊連結,也沒有開啟任何文件,只要收到檔案就能侵入裝置,監控你的手機。目前影響的所有版本包括iOS、OSX、watchOS。


負責蘋果安全工程和架構負責人Ivan Krstić表示,在確定iMessage成為漏洞遭惡意利用後,蘋果迅速在iOS 14.8中開發並修復程序,以保護iPhone用戶。Ivan Krstić也表示,這種攻擊非常複雜,開發成本相當昂貴,需要數百萬美元,且通常被利用來「監視政治異議」或是「人權活動人士」等特定個人。


蘋果迅速在iOS 14.8中開發並修復程序,以保護iPhone用戶。(圖/翻攝自網路)


不過,蘋果發言人拒絕回應駭客技術是否來自NSO Group。且明日就是iPhone 13系列新機亮相,蘋果就先釋出iOS 14.8,稱是提供「重要的安全更新」,也建議所有使用者都應該安裝。據了解,此次版本更新中並沒有加入新功能,不排除和上述事件有所關聯。


Citizen Lab資深研究員John Scott-Railton認為,聊天App是設備安全的中的弱點,但由於這些App無所不在,就成為駭客常見的攻擊目標,因此保護這一部分變得更加重要,縮小駭客對App的攻擊範圍也有助於讓設備更加安全。


另外,可能有些人會好奇,官方發表iPhone 13後,iOS 15正式版本就會釋出,為什麼蘋果在這時間點又釋出iOS 14.8,根據《科技新報》報導,原因可能就是蘋果資安團隊注意到以色列公司Pegasus的間諜軟體,可透過iMessage傳送簡訊,即便用戶不點開簡訊,一樣能入侵用戶蘋果裝置。


蘋果這次不僅釋出 iOS 14.8 更新版,也一口氣釋出 iPadOS 14.8、macOS 11.6 及 watchOS 7.6.2,並建議用戶下載。