蘋果曝出嚴重安全漏洞 相當于給了黑客一把萬能鑰匙？

本報記者 李玉洋 李正豪 上海報道

iPhone14即将釋出，0day（在網絡安全界通常是指沒有更新檔的漏洞利用程式）級别漏洞蓋在了蘋果頭上。

近日，蘋果公司被曝出旗下的手機、平闆、電腦等硬體産品存在嚴重安全漏洞，而這些漏洞可以讓黑客輕松獲得裝置的“完全管理權限”，并以他們的名義運作任何軟體。目前蘋果并未對外透露該漏洞的更多詳情，僅表示是由一名匿名研究人員發現了這一漏洞。

“0day級别漏洞是說剛剛被發現、還沒有被公開的漏洞，威脅很大。”民間網際網路安全組織網絡尖刀安全團隊成員淪淪告訴《中國經營報》記者，鑒于蘋果自身很注重安全漏洞方面的問題，出現0day級别漏洞實屬“比較少見”，但該漏洞還不是天花闆級别，建議蘋果使用者及時更新系統。

360漏洞研究院人士也向記者表示，這次漏洞影響非常廣泛，幾乎影響蘋果所有的裝置，如iPhone、iPad、Mac等，但“從曆史攻擊事件來看，針對蘋果裝置的攻擊主要集中在特定的高價值人群或者某些特定組織，是以對普通使用者來說，及時更新系統，不随意點選未知的連結，還不需要太過于緊張”。

對于此次漏洞是否已被利用、造成損失以及将來如何應對類似漏洞等問題，記者聯系蘋果中國方面，截至發稿未獲答複。不過目前蘋果公司公開聲稱已經找到相應的解決方法，同時呼籲使用者立刻下載下傳最新更新，以修補漏洞。

漏洞已被利用

據了解，受本次漏洞影響的裝置涵蓋了手機、平闆、電腦“蘋果三件套”：手機包括iPhone 6S及以後的型号；平闆包括第五代及以後的iPad、所有的iPad Pro以及iPad Air 2；電腦則是運作MacOS Monterey的Mac。此外，該漏洞還能影響到部分型号的iPod。

“我們從公開的資訊看，該漏洞主要利用的是Apple WebKit代碼執行漏洞（CVE-2022-32893）和Apple Kernel權限提升漏洞（CVE-2022-32894）。”淪淪表示，Apple Webkit是浏覽器引擎，被使用在Safari、Mail、App Store、iOS和Linux，Apple Webkit在處理惡意制作的Web内容可能會導緻任意代碼執行，簡單來說，Apple核心存在本地權限提升漏洞，“通過越界讀寫，成功利用該漏洞可以将本地使用者權限提升至核心權限，并以核心權限執行任意代碼”。

需要指出的是，CVE指的是通用漏洞披露（Common Vulnerabilities and Exposures）。對于該漏洞的解析，深度科技研究院院長張孝榮則形象地稱之為相當于給了黑客一把萬能鑰匙，随時可以出入使用者的終端。

淪淪還表示，目前國内已經有多個安全團隊發現該漏洞已經被利用的情況，即外部已有攻擊組織在利用這類漏洞。“目前看各大安全廠商的回報（該漏洞）還沒有大範圍擴散，漏洞細節也還未進行公開。”他說。

在所釋出的安全更新中，蘋果表示該漏洞可能已被用于攻擊行為。“這就是我們所說的零日漏洞（0day漏洞），也就是在公司發現并能夠做出回應之前，已經被黑客所使用過的漏洞。” 美國麥迪安網絡安全公司（Mandiant）的進階威脅情報顧問傑米·科利爾（Jamie Collier）說。

在前述360漏洞研究院人士看來，雖然蘋果在聲明中用了“可能”兩字，但結果上和邏輯上已經說明該漏洞被“利用”了，此次蘋果不僅修複了這兩個漏洞，還針對攻擊方法引進了新的防護措施，進而加大了相似漏洞的攻擊難度。

安全考驗仍在

張孝榮指出，雖然蘋果終端裡的系統漏洞相對Windows要少很多，但随着蘋果使用者的增長，蘋果系統日益成為黑客攻擊的目标，安全漏洞問題也愈發嚴重起來。事實上，蘋果曆史上出現過多次影響重大的漏洞。

“比如2016年的三叉戟漏洞，跟本次修複的漏洞相似，也是通過蘋果裝置自帶的浏覽器作為攻擊入口，隻需要點選惡意連結就可以攻擊到核心并接管裝置；還有2021年的FORCEDENTRY漏洞，這應該是蘋果曆史上影響最大的漏洞，因為受害者不需要任何點選，攻擊者隻需要通過發送iMessage資訊到受害者手機上，就可以完成攻擊。”前述360漏洞研究院人士說。

有一種觀點指出，黑客利用這個漏洞就能在使用者不需要點選任何連結的情況下讓使用者的iPhone中招。對此，前述360漏洞研究院人士指出，黑客想要利用此次漏洞入侵蘋果裝置還是需要受害者點選連結的，“因為從這次蘋果的安全公告來看，蘋果修複了這兩個漏洞，一是浏覽器漏洞，二是核心漏洞，這兩個漏洞形成了一個完整的攻擊鍊，受害者隻需要點選黑客發送的惡意連結，黑客就能接管蘋果裝置”。

淪淪認為需要互動。“除非是在同一個區域網路，攻擊者利用了特定的劫持手段把正常網站比如百度篡改為漏洞EXP，這樣使用者隻要通路了百度就可以直接觸發漏洞。”他指出，黑客利用該漏洞的攻擊途徑包含在區域網路内進行擴散，比如同一個WiFi下的ARP（位址解析協定）欺騙植入這種漏洞，或者通過郵件、短信等釣魚方式讓使用者點選存在漏洞的連結。

記者注意到，8月17日和18日，蘋果中國官方密集釋出系統更新，包含iOS 15.6.1、iPadOS 15.6.1、MacOS Monterey 12.5.1、watchOS 8.7.1以及Safari 浏覽器 15.6.1。從更新提示看，以上軟體均與安全性有關，蘋果也提醒所有使用者盡快安裝。

前述360漏洞研究院人士指出，該漏洞實際上是新漏洞老手法，攻擊方式上沒有過于特别的東西，但值得重視的是，近幾年蘋果公司引入了非常多而且有效的安全防護措施，不斷加大攻擊難度，在業界也引起了廣泛的關注，并且得到廣大安全從業者的贊譽，“在這種情況下依然不斷出現在野漏洞攻擊事件，對蘋果公司來說是重大的考驗和挑戰”。

對普通群眾而言，本次漏洞不太可能造成大範圍的問題。通常情況下，當iPhone等手機的漏洞被利用時，往往是有針對性的，攻擊一般集中于一小部分人。不過，淪淪建議廣大使用者不要對數字安全和隐私保護放松戒備。

“現在資訊洩露這麼嚴重，别人拿到你的資訊很容易，如果這個漏洞大範圍公開的話，應該會有黑産對資訊洩露的一大批人下手，比如批量給他們發短信或郵件資訊，誘騙去點選。”是以，他強烈建議廣大數字産品使用者不要點選來曆不明的連結、不要通路一些惡意網站以及公開免費WiFi盡量不要去使用。