日前,蘋果以迅雷不及掩耳的速度,修補了iOS存在的三個重要安全漏洞,外部賣價高達一百萬美元的攻擊工具,能夠入侵iOS操作系統,盜取用戶包括Facebook、WhatsApp在內的大量隱私信息,這也是一批非常罕見、危險的漏洞。
據今日美國報網站報道,蘋果對新聞界表示,在獲得相關報告之後,已經迅速開發出了補丁,蘋果希望iOS用戶能夠盡早下載最新版的9.3.5版本。
美國美聯社首先報道了這個漏洞和補丁的消息。據稱,基於這一漏洞的黑客工具,在一個阿聯酋異議人士的蘋果手機中被發現。此人接到了一個短信,誘使他點擊一個網頁鏈接。他隨後將這一信息提交給了加拿大多倫多大學的“網絡公民實驗室”。
上述實驗室的專家和美國舊金山的安全公司Lookout進行了合作。在周四的一篇文章中,Lookout公司表示,他們發現了一種利用了iOS系統三個零日漏洞的復雜攻擊手段。
所謂零日漏洞,就是漏洞被發現之後,廠商沒有機會修補,黑客立刻實施了攻擊。
網絡公民實驗室認為,上述的惡意鏈接來自於以色列一家惡意軟件制作公司NSO集團,該公司對外銷售名為Pegasus的攻擊工具。奇怪的是,這家惡意軟件制作工具背後,卻有美國風險投資公司的支持。
據悉,利用這一漏洞的攻擊工具價格高昂,售價高達一百萬美元。
據悉,利用這些漏洞,黑客可以入侵iOS設備,獲得各種應用軟件的重要信息,比如Facebook、WhatsApp、FaceTime、Gmail或是日歷工具。
Lookout公司的一位安全專家表示,考慮到蘋果此次快速開發補丁的速度,這一安全漏洞的確十分危險。
該公司證實說,網絡公民實驗室首先發現了這個漏洞,然後在幾周前提交給了蘋果公司。
據報道,相關惡意軟件一旦在蘋果手機上成功安裝,將能夠檢索各種重要數據,比如照片、通訊錄、個人便簽等。惡意軟件甚至能夠開啟麥克風,錄制外部對話,然後將其發送給攻擊者。
安全專家指出,這次事件進一步表明,在盜取用戶敏感數據方面,智能手機正在成為一個機會良多的黑客“沃土”。
另外一家機構的專家分析稱,這次爆出的三個漏洞,可能已經存在了至少三年時間。之前也許其他的用戶,可能因為這些漏洞而遭到攻擊。
斯坦福大學的網絡安全研究員Herb Lin則表示,操作系統的漏洞被黑客利用,開發攻擊工具,然後被一些不良的機構用於監控某些人,這其實並不出乎意料。目前有許多公司和機構存在於一個灰色市場中。
蘋果已經意識到了iOS所面臨的安全風險,本月初,蘋果推出了公司歷史上第一個有獎捉蟲計劃,對於重大漏洞,蘋果將給外部安全人士獎勵20萬美元。