iPhone14即将发布,0day(在网络安全界通常是指没有补丁的漏洞利用程序)级别漏洞盖在了苹果头上。
近日,苹果公司被曝出旗下的手机、平板、电脑等硬件产品存在严重安全漏洞,而这些漏洞可以让黑客轻松获得设备的“完全管理权限”,并以他们的名义运行任何软件。目前苹果并未对外透露该漏洞的更多详情,仅表示是由一名匿名研究人员发现了这一漏洞。
“0day级别漏洞是说刚刚被发现、还没有被公开的漏洞,威胁很大。”民间互联网安全组织网络尖刀安全团队成员沦沦告诉记者,鉴于苹果自身很注重安全漏洞方面的问题,出现0day级别漏洞实属“比较少见”,但该漏洞还不是天花板级别,建议苹果用户及时升级系统。
360漏洞研究院人士也向记者表示,这次漏洞影响非常广泛,几乎影响苹果所有的设备,如iPhone、iPad、Mac等,但“从历史攻击事件来看,针对苹果设备的攻击主要集中在特定的高价值人群或者某些特定组织,所以对普通用户来说,及时更新系统,不随意点击未知的链接,还不需要太过于紧张”。
对于此次漏洞是否已被利用、造成损失以及将来如何应对类似漏洞等问题,记者联系苹果中国方面,截至发稿未获答复。不过目前苹果公司公开声称已经找到相应的解决方法,同时呼吁用户立刻下载最新更新,以修补漏洞。
漏洞已被利用
据了解,受本次漏洞影响的设备涵盖了手机、平板、电脑“苹果三件套”:手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad、所有的iPad Pro以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。
“我们从公开的信息看,该漏洞主要利用的是Apple WebKit代码执行漏洞(CVE-2022-32893)和Apple Kernel权限提升漏洞(CVE-2022-32894)。”沦沦表示,Apple Webkit是浏览器引擎,被使用在Safari、Mail、App Store、iOS和Linux,Apple Webkit在处理恶意制作的Web内容可能会导致任意代码执行,简单来说,Apple内核存在本地权限提升漏洞,“通过越界读写,成功利用该漏洞可以将本地用户权限提升至内核权限,并以内核权限执行任意代码”。
需要指出的是,CVE指的是通用漏洞披露(Common Vulnerabilities and Exposures)。对于该漏洞的解析,深度科技研究院院长张孝荣则形象地称之为相当于给了黑客一把万能钥匙,随时可以出入用户的终端。
沦沦还表示,目前国内已经有多个安全团队发现该漏洞已经被利用的情况,即外部已有攻击组织在利用这类漏洞。“目前看各大安全厂商的反馈(该漏洞)还没有大范围扩散,漏洞细节也还未进行公开。”他说。
在所发布的安全更新中,苹果表示该漏洞可能已被用于攻击行为。“这就是我们所说的零日漏洞(0day漏洞),也就是在公司发现并能够做出回应之前,已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司(Mandiant)的高级威胁情报顾问杰米·科利尔(Jamie Collier)说。
在前述360漏洞研究院人士看来,虽然苹果在声明中用了“可能”两字,但结果上和逻辑上已经说明该漏洞被“利用”了,此次苹果不仅修复了这两个漏洞,还针对攻击方法引进了新的防护措施,从而加大了相似漏洞的攻击难度。
安全考验仍在
张孝荣指出,虽然苹果终端里的系统漏洞相对Windows要少很多,但随着苹果用户的增长,苹果系统日益成为黑客攻击的目标,安全漏洞问题也愈发严重起来。事实上,苹果历史上出现过多次影响重大的漏洞。
“比如2016年的三叉戟漏洞,跟本次修复的漏洞相似,也是通过苹果设备自带的浏览器作为攻击入口,只需要点击恶意链接就可以攻击到内核并接管设备;还有2021年的FORCEDENTRY漏洞,这应该是苹果历史上影响最大的漏洞,因为受害者不需要任何点击,攻击者只需要通过发送iMessage信息到受害者手机上,就可以完成攻击。”前述360漏洞研究院人士说。
有一种观点指出,黑客利用这个漏洞就能在用户不需要点击任何链接的情况下让用户的iPhone中招。对此,前述360漏洞研究院人士指出,黑客想要利用此次漏洞入侵苹果设备还是需要受害者点击链接的,“因为从这次苹果的安全公告来看,苹果修复了这两个漏洞,一是浏览器漏洞,二是内核漏洞,这两个漏洞形成了一个完整的攻击链,受害者只需要点击黑客发送的恶意链接,黑客就能接管苹果设备”。
沦沦认为需要交互。“除非是在同一个局域网,攻击者利用了特定的劫持手段把正常网站比如百度篡改为漏洞EXP,这样用户只要访问了百度就可以直接触发漏洞。”他指出,黑客利用该漏洞的攻击途径包含在局域网内进行扩散,比如同一个WiFi下的ARP(地址解析协议)欺骗植入这种漏洞,或者通过邮件、短信等钓鱼方式让用户点击存在漏洞的链接。
记者注意到,8月17日和18日,苹果中国官方密集发布系统更新,包含iOS 15.6.1、iPadOS 15.6.1、MacOS Monterey 12.5.1、watchOS 8.7.1以及Safari 浏览器 15.6.1。从更新提示看,以上软件均与安全性有关,苹果也提醒所有用户尽快安装。
前述360漏洞研究院人士指出,该漏洞实际上是新漏洞老手法,攻击方式上没有过于特别的东西,但值得重视的是,近几年苹果公司引入了非常多而且有效的安全防护措施,不断加大攻击难度,在业界也引起了广泛的关注,并且得到广大安全从业者的赞誉,“在这种情况下依然不断出现在野漏洞攻击事件,对苹果公司来说是重大的考验和挑战”。
对普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当iPhone等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。不过,沦沦建议广大用户不要对数字安全和隐私保护放松戒备。
“现在信息泄露这么严重,别人拿到你的信息很容易,如果这个漏洞大范围公开的话,应该会有黑产对信息泄露的一大批人下手,比如批量给他们发短信或邮件信息,诱骗去点击。”因此,他强烈建议广大数字产品用户不要点击来历不明的链接、不要访问一些恶意网站以及公开免费WiFi尽量不要去使用。
