不要猶豫，立刻更新你的蘋果設(shè)備！

【資料圖】

就在這兩天，一家安全組織發(fā)現(xiàn)了蘋果設(shè)備的2個最新漏洞，平板、手機、電腦等都受影響——

例如搭載iOS 16.6版本的iPhone手機，以及新版本的iPad平板、Mac電腦和Apple Watch蘋果手表等。

只需要利用這些漏洞，黑客就可能打開你的麥克風(fēng)記錄對話，還能專挑你充電的時候悄悄竊取你的數(shù)據(jù)，確保耗電量不會被發(fā)現(xiàn)。

全程無需用戶做出任何交互，例如下載APP、或是點開某個郵件。

目前蘋果官方已經(jīng)下發(fā)了這兩個漏洞的修復(fù)版本，點擊就能安裝。

所以，這兩個漏洞究竟是怎么一回事？

無需交互就能被攻擊

這兩個漏洞，屬于被蘋果官方發(fā)現(xiàn)前已被黑客利用的零日漏洞。

加拿大多倫多大學(xué)的Citizen Lab的研究人員發(fā)現(xiàn)了這兩個漏洞，當時黑客已經(jīng)利用它們，給一臺iPhone設(shè)備上植入了一種名叫Pegasus的間諜軟件。

這個軟件不僅能竊取私人信息如照片，還能悄悄打開麥克風(fēng)并記錄對話，甚至跟蹤行動和記錄文本等。

雖說一些惡意軟件可以通過明顯增大的手機耗電量、或是未知來源的APP發(fā)現(xiàn)，但Pegasus更“智能”一點，可以選擇在夜間或是充電時悄悄收集數(shù)據(jù)。

（據(jù)商業(yè)內(nèi)幕介紹，亞馬遜CEO貝佐斯曝出婚外情的事件，似乎就是黑客利用Pegasus“黑”了他的手機，并曝光了設(shè)備數(shù)據(jù)。）

不過，這兩個漏洞更嚴重一些，因為它甚至無需與用戶互動，就能直接被植入最新版本iOS的iPhone手機。

這兩個漏洞分別被命名為CVE-2023-41064和CVE-2023-41061。

CVE-2023-41064涉及蘋果的Image I/O框架，影響范圍包括iPhone、iPad、Mac電腦和蘋果手表，當設(shè)備處理“惡意制作的圖像”時，就可能會被攻擊。

CVE-2023-41061出現(xiàn)在蘋果錢包功能中，只要設(shè)備接收到“惡意制作的附件”，就會導(dǎo)致安全問題。

目前，蘋果已經(jīng)及時修復(fù)了這2個漏洞，并發(fā)布了一版更新版本。

建議更新并啟用“鎖定模式”

修復(fù)補丁被放在各系統(tǒng)的版本更新中，包括macOS的13.5.2版本、iOS和iPadOS的16.6.1版本、以及watchOS的9.6.2版本。

現(xiàn)在，Mac和iPhone等蘋果設(shè)備上已經(jīng)能收到更新提醒。

值得注意的是，這兩個漏洞不屬于蘋果發(fā)布的快速安全響應(yīng)（Rapid Security Response），即可以隨時更新并被移除的補丁。

相比之下，它被加入到了常規(guī)的系統(tǒng)更新中，安裝完后不能回退到之前的版本。

同時蘋果還給出建議，如有必要可以開啟鎖定模式，能很好地防止這類漏洞的攻擊。

鎖定模式，是蘋果在iOS和iPadOS 16以及macOS Ventura中推出的一種“為極少數(shù)蘋果用戶設(shè)計”的保護模式，這些用戶往往會因為工作等原因被黑客盯上。

開啟后，用戶在使用蘋果設(shè)備上的某些App、瀏覽網(wǎng)站和功能時會嚴格受限，確保設(shè)備安全性：

不過對于鎖定模式這個建議，網(wǎng)友們倒是有不同的看法。

有網(wǎng)友認為，鎖定模式早就不應(yīng)該限制目標受眾了，大伙兒最好都用用：

它不僅能減少不必要的后臺運行，還能節(jié)省電池電量。

但也有網(wǎng)友認為，開了鎖定模式后使用一些功能確實不太方便，例如導(dǎo)致網(wǎng)頁加載速度變慢：

普通用戶受到攻擊的風(fēng)險沒那么高。蘋果不如再創(chuàng)建第三種模式，當涉及安全保護降低性能的操作時，讓用戶可以選擇“要安全”還是“要性能”。

你用過蘋果的鎖定模式嗎？感覺效果如何？

參考鏈接：

[1]https://therecord.media/apple-discloses-two-zero-days-in-new-updates

[2]https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/

責(zé)任編輯：落木