Apple 设备系统最近面临了许多安全性方面的考验,好在在研究组织 Citizen Lab 地帮忙揭露下,最近一个名为「ForcedEntry」的攻击漏洞,已经被官方确认并提出了建议,建议所有用户安装此次的「重要更新」。
这次的更新范围可以说是几乎所有的苹果移动设备甚至是桌机都包含在内,也应该都已经可以在各位手上的 iphone、iPod Touch、iPad、Apple Watch 与 mac 设备,系统中的软件更新里找到包括 IOS / iPadOS 14.8、watchOS 7.6.2 等安全性更新提示。
这次的更新真的建议大家有收到就尽快更新,因为 ForcedEntry 是一种不需点击的 Zero Click / Zero Day 零时差攻击的手法,也就是你可能不知不觉就已经被有心人士取走了个资等重要资料。 Citizen Lab 揭露这个据了解为以色列黑客公司 NSO Group 所开发的攻击方式。 这间公司,也是前些日子宣称透过Pegasus间谍应用绕过iOS 14特别开发的BlastDoor沙盒保护机制的开发者。
▲图片来源:Apple
ForcedEntry 据称利用的是 iMessage 传讯服务针对图片显示的运算程序漏洞,来达成零时攻击的效果。 苹果的安全工程架构主管 Ivan Krstić 后续也向外媒 TechCrunch 提到,十分感谢 Citizen Lab 提供此漏洞回报的努力,才得以让苹果能快速释出修正的更新。 Citizen Lab也提到,最近观察到了传讯服务如:iMessage等应用,越来越常成为国际黑客组织的攻击目标。 而这次的漏洞也突显了类似的系统安全挑战将更为严峻。
本文由“科技洞见未来”发布,2021年9月14日