Apple 发布了针对 iPhone 和 iPad 的重要iOS 16 安全更新,以修补一个特别恶意的错误,该错误可能允许黑客在您不采取任何操作的情况下接管您的设备。 “零点击、零日”漏洞允许攻击者安装 NSO Group 的Pegasus 间谍软件,该软件可以让他们读取目标的短信、监听电话、窃取和传输图像、跟踪他们的位置等等。
该漏洞(称为“Blastpass”)首先由Citizen Lab发现,并立即向 Apple 披露。据报道,该软件被用来将 Pegasus 安装到华盛顿特区一家组织的一名员工的 iPhone 上。该组织写道,它能够危害运行最新 16.6 版本 iOS 的设备,“无需受害者进行任何交互”。
苹果已经发布了 iOS 16.6.1 来应对该漏洞,并简单地指出“恶意制作的附件可能会导致任意代码执行”。此外,公民实验室甚至建议“所有有风险的用户考虑启用锁定模式,因为我们相信它可以阻止攻击。”据信,这次攻击涉及 PassKit(一种允许开发者将 Apple Pay 放入其应用程序中的 SDK),因此被称为 Blastpass,以及由 iMessage 发送的恶意图像。出于显而易见的原因,公民实验室没有透露任何其他细节。
苹果表示,锁定模式是iOS 的一项最新功能,旨在严格限制苹果设备的功能,针对的是“极少数面临严重、有针对性的数字安全威胁的用户”。苹果公司当时表示,该公司最近面临着许多威胁,其中包括2023 年 2 月出现的一个“可能已被积极利用”的漏洞。
继今年早些时候拜登政府颁布禁令后,这一漏洞也让 Pegasus 再次成为新闻焦点。它由以色列网络武器公司 NSO 集团开发,被多个国家用来监视记者、活动人士和其他人后引起了轩然大波。据报道,在一个臭名昭著的案件中,沙特阿拉伯利用它来监视记者贾迈勒·卡舒吉(Jamal Kashoggi),后者后来在土耳其被谋杀。
本文最初发表在 Engadget 上:https://ift.tt/ASYtMRI