不要猶豫,立刻更新你的蘋果設備!
就在這兩天,一家安全組織發現了蘋果設備的2個最新漏洞,平板、手機、電腦等都受影響——
例如搭載iOS16.6版本的iPhone手機,以及新版本的iPad平板、Mac電腦和Apple Watch蘋果手錶等。
只需要利用這些漏洞,黑客就可能打開你的麥克風記錄對話,還能專挑你充電的時候悄悄竊取你的數據,確保耗電量不會被發現。
全程無需用戶做出任何交互,例如下載APP、或是點開某個郵件。
目前蘋果官方已經下發了這兩個漏洞的修復版本,點擊就能安裝。
所以,這兩個漏洞究竟是怎麼一回事?
無需交互就能被攻擊
這兩個漏洞,屬於被蘋果官方發現前已被黑客利用的零日漏洞。
加拿大多倫多大學的Citizen Lab的研究人員發現了這兩個漏洞,當時黑客已經利用它們,給一台iPhone設備上植入了一種名叫Pegasus的間諜軟體。
這個軟體不僅能竊取私人信息如照片,還能悄悄打開麥克風並記錄對話,甚至跟蹤行動和記錄文本等。
雖說一些惡意軟體可以通過明顯增大的手機耗電量、或是未知來源的APP發現,但Pegasus更「智能」一點,可以選擇在夜間或是充電時悄悄收集數據。
(據商業內幕介紹,亞馬遜CEO貝佐斯曝出婚外情的事件,似乎就是黑客利用Pegasus「黑」了他的手機,並曝光了設備數據。)
不過,這兩個漏洞更嚴重一些,因為它甚至無需與用戶互動,就能直接被植入最新版本iOS的iPhone手機。
這兩個漏洞分別被命名為CVE-2023-41064和CVE-2023-41061。
CVE-2023-41064涉及蘋果的Image I/O框架,影響範圍包括iPhone、iPad、Mac電腦和蘋果手錶,當設備處理「惡意製作的圖像」時,就可能會被攻擊。
CVE-2023-41061出現在蘋果錢包功能中,只要設備接收到「惡意製作的附件」,就會導致安全問題。
目前,蘋果已經及時修復了這2個漏洞,並發布了一版更新版本。
建議更新並啟用「鎖定模式」
修復補丁被放在各系統的版本更新中,包括macOS的13.5.2版本、iOS和iPadOS的16.6.1版本、以及watchOS的9.6.2版本。
現在,Mac和iPhone等蘋果設備上已經能收到更新提醒。
值得注意的是,這兩個漏洞不屬於蘋果發布的快速安全響應(Rapid Security Response),即可以隨時更新並被移除的補丁。
相比之下,它被加入到了常規的系統更新中,安裝完後不能回退到之前的版本。
同時蘋果還給出建議,如有必要可以開啟鎖定模式,能很好地防止這類漏洞的攻擊。
鎖定模式,是蘋果在iOS和iPadOS16以及macOS Ventura中推出的一種「為極少數蘋果用戶設計」的保護模式,這些用戶往往會因為工作等原因被黑客盯上。
開啟後,用戶在使用蘋果設備上的某些App、瀏覽網站和功能時會嚴格受限,確保設備安全性:
不過對於鎖定模式這個建議,網友們倒是有不同的看法。
有網友認為,鎖定模式早就不應該限制目標受眾了,大伙兒最好都用用:
它不僅能減少不必要的後台運行,還能節省電池電量。
但也有網友認為,開了鎖定模式後使用一些功能確實不太方便,例如導致網頁加載速度變慢:
普通用戶受到攻擊的風險沒那麼高。蘋果不如再創建第三種模式,當涉及安全保護降低性能的操作時,讓用戶可以選擇「要安全」還是「要性能」。
