面向 iOS、watchOS 和 macOS，今天蘋果發(fā)布了一個(gè)緊急更新，修復(fù)了一個(gè)重大安全漏洞。有證據(jù)表明該漏洞自今年 2 月以來就被黑客利用，能夠在用戶沒有干預(yù)的情況下在設(shè)備上安裝 Pegasus 間諜軟件。

周一，蘋果為 iOS、watchOS 和 macOS 推送了緊急更新。發(fā)布安全補(bǔ)丁是為了應(yīng)對一個(gè)大規(guī)模的漏洞，該漏洞允許操作系統(tǒng)在沒有用戶互動(dòng)的情況下被感染間諜軟件。

多倫多大學(xué)公民實(shí)驗(yàn)室的安全研究人員上周二向蘋果公司披露了被稱為"ForcedEntry"的漏洞。該小組在分析一名沙特活動(dòng)家的iPhone時(shí)發(fā)現(xiàn)了這個(gè)安全漏洞(CVE-2021-30860)。

這個(gè)“零點(diǎn)擊漏洞”利用了 iMessages 的一個(gè)弱點(diǎn)，即調(diào)用蘋果的圖像渲染庫，可以在沒有任何用戶干預(yù)的情況下感染設(shè)備。研究人員發(fā)現(xiàn)，蘋果的三個(gè)操作系統(tǒng)--iOS、watchOS和macOS--都存在這個(gè)漏洞。

使用的間諜軟件是以色列NSO集團(tuán)開發(fā)的有爭議的PegASUS應(yīng)用程序。公民實(shí)驗(yàn)室說，它認(rèn)為這個(gè)漏洞自2月以來一直在使用，但不知道有多少設(shè)備可能被間諜軟件感染。

公民實(shí)驗(yàn)室的高級研究員約翰·斯科特·雷爾頓(John Scott-Railton)告訴《紐約時(shí)報(bào)》，這個(gè)間諜軟件可以做 iPhone 用戶在其設(shè)備上能做的一切，甚至更多。共同研究員比爾·馬爾扎克補(bǔ)充說，"商業(yè)間諜軟件行業(yè)正在走向黑暗”。

NSO集團(tuán)堅(jiān)持認(rèn)為，它只向政府執(zhí)法機(jī)構(gòu)出售其間諜軟件，符合地區(qū)法律和法規(guī)。然而，該軟件已經(jīng)出現(xiàn)在非犯罪人員的設(shè)備上，包括外交官、活動(dòng)家和記者。此外，德國國家警察機(jī)構(gòu)上周因秘密購買和使用Pegasus來監(jiān)視恐怖分子和有組織犯罪成員而受到嚴(yán)厲批評。