这些漏洞允许有人劫持iOS设备并远程控制或监视它

根据公民实验室的一份报告，苹果周四发布了iOS9的更新——iOS9.3.5——修补了多个关键的零日漏洞，这些漏洞已被证明已经部署，据称政府针对活动家和持不同政见者。监视安全。苹果公司在收到公民实验室的初步报告后10天内扭转了更新。建议立即为所有iOS9设备进行更新。

当一起使用时，这些漏洞允许有人劫持iOS设备并远程控制或监视它。劫持者可以访问设备的摄像头和麦克风，甚至可以在WhatsApp等端到端安全应用程序中捕获音频通话。他们还可以抓取存储的图像、跟踪运动和检索文件。

一些漏洞可能在几个月前或更长时间之前就被发现，因此无法知道它们的使用范围有多广，但详细信息表明，iOS9以前版本中的这些活跃漏洞并未得到广泛使用，而是针对个人进行部署的。目标。

“我们从这些漏洞利用中看到的是，它们似乎比9.3.3/9.3.4的时间框架长一点，”报告的合著者公民实验室的比尔·马克扎克在接受采访时说。iOS9.3.3于7月18日发布。

一位苹果发言人说：“我们意识到这个漏洞并立即在iOS9.3.5中修复了它。我们建议所有客户始终下载最新版本的iOS，以保护自己免受潜在安全漏洞的侵害。”苹果后来证实，本周早些时候发布的iOS10测试版修补了相同的漏洞。该公司拒绝评论版本9之前的iOS是否仍然受到影响，但指出87%的iOS用户运行iOS9或更高版本。

iOS9.3.4已经展示了越狱，但尚未发布，这些越狱可能依赖于现已修补的三个缺陷的一个或多个方面。

iOS中的零日漏洞利用并不少见，这是基于越狱者、安全研究人员和向政府出售缺陷的公司(其中一些出售给任何付费的人)的努力，其价格可达500,000至100万美元。然而，这似乎是第一次在野外捕获主要活跃漏洞的行为并完整记录下来。Marczak说，他的组织在一段时间内一直在跟踪漏洞利用背后的基础设施，然后一名激进分子转发网络钓鱼链接，该链接与CitizenLab已经关注的域相匹配。

这些漏洞的任何组合被广泛用于攻击iOS用户的可能性非常低，因为研究人员和Apple会观察到任何被广泛利用的漏洞。这些缺陷很可能被发现它们的任何一方保留在背心附近，并且仅被部署用于政府或集团利益的高价值主体。

正如LookoutSecurity所指出的那样，“Pegasus[一种移动间产品]300个许可证的现行价格约为800万美元，因此它不太可能用于针对普通移动设备用户，仅针对可以被认为具有高价值的目标。”

尽管如此，既然漏洞已经被记录下来，那么安装更新是至关重要的，因为攻击者可能会尝试将这种方法用于过时的设备。然而，Marczak指出，“这是一个相当复杂的漏洞利用，我们确实省略了一些关于哪些功能易受攻击的细节”，因此在大多数iOS用户更新之前，组织可能无法利用。

用户也应该避免——现在和永远!—单击来自未知方的SMS消息中的链接。因为SMS消息可以被欺骗，所以即使是来自已知方的消息也可能是危险的。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。