蘋(píng)果的閉環(huán)生態(tài)又一次迎來(lái)了安全危機(jī)。

360全球獨(dú)家發(fā)現(xiàn)“Bluewave”漏洞

這一次遭殃的是蘋(píng)果的MacOS系統(tǒng)。360 Alpha Lab團(tuán)隊(duì)全球首家發(fā)現(xiàn)了5個(gè)MacOS藍(lán)牙漏洞組合，并經(jīng)官方確認(rèn)，該漏洞組合全部屬于“零點(diǎn)擊無(wú)接觸”遠(yuǎn)程利用漏洞。 鑒于其不容忽視的摧毀能力，360 Alpha Lab團(tuán)隊(duì)將其命名為“Bluewave”漏洞。

近日，蘋(píng)果公司連續(xù)發(fā)布兩份重要安全通告，公開(kāi)致謝360 Alpha Lab團(tuán)隊(duì)的貢獻(xiàn)。同時(shí)，蘋(píng)果官方已根據(jù)360安全團(tuán)隊(duì)所提交的漏洞報(bào)告發(fā)布補(bǔ)丁，并獎(jiǎng)勵(lì)漏洞獎(jiǎng)金75000美元。

“零點(diǎn)擊”的致命威脅

據(jù)360 Alpha Lab團(tuán)隊(duì)介紹，“Bluewave”漏洞的披露，就像蘋(píng)果系統(tǒng)爆出的5枚重磅炸彈。“Bluewave”所天然具備的“零點(diǎn)擊”更是成為致命威脅。

因?yàn)楣粽吣軌蚪璐寺┒匆詿o(wú)感知、無(wú)交互的形態(tài)，完成遠(yuǎn)程攻擊利用，從而導(dǎo)致受害目標(biāo)陷入非法控制。這與一般的漏洞相比，“Bluewave”的殺傷力和潛在破壞力可見(jiàn)一斑。

360 Alpha Lab進(jìn)一步指出，暴露在外的“Bluewave”漏洞甚至具備無(wú)限劫持的可能性。因?yàn)?ldquo;Bluewave”漏洞存在于蘋(píng)果MacOS藍(lán)牙進(jìn)程中，而各種藍(lán)牙設(shè)備之間又是互相連接，這意味著攻擊者一旦攻破某臺(tái)設(shè)備，就可以以其為中心，連鎖式攻擊與之配對(duì)的MacOS設(shè)備，整個(gè)攻擊過(guò)程如像波浪一樣，無(wú)限擴(kuò)散蔓延。而這正是360 Alpha Lab將其形象地命名為“Bluewave”的原因。

在某程度來(lái)說(shuō)，“Bluewave”漏洞的面積效應(yīng)是最大的。這種攻擊形式不亞于空軍作戰(zhàn)中的“電磁脈沖”，一旦被黑客利用，可以長(zhǎng)時(shí)間靜默潛伏，然后利用其硬殺傷力和極強(qiáng)傳染性，大規(guī)模徹底瓦解目標(biāo)系統(tǒng)。

“Bluewave”漏洞影響范圍廣

此次蘋(píng)果筆記本曝出的“Bluewave”漏洞影響范圍甚廣，覆蓋macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2版本在內(nèi)的所有蘋(píng)果筆記本。另?yè)?jù)360 Alpha Lab補(bǔ)充，CVE-2019-8853漏洞除了上述版本，還將影響macOS Catalina 10.15.3。

360安全大腦早在2019年12月確認(rèn)此漏洞利用的第一時(shí)間，就向蘋(píng)果官方提交了完整的漏洞報(bào)告，并正協(xié)助蘋(píng)果公司推進(jìn)修復(fù)。目前，蘋(píng)果官網(wǎng)已經(jīng)發(fā)布了更新補(bǔ)丁。360安全專(zhuān)家建議，廣大蘋(píng)果Mac用戶(hù)應(yīng)盡快升級(jí)修復(fù)，以免遭受漏洞攻擊。