作者丨KATIE REES        

譯者 | 晶顏

審校 | 重樓

出品 | 51CTO技術(shù)棧（微信號(hào)：blog51cto）

傳統(tǒng)印象中，蘋果似乎始終以安全可靠著稱。

但事實(shí)上，蘋果公司并不乏安全事件。只是你可能從未意識(shí)到這些問題，甚至其中一些可能將你置于危險(xiǎn)之中。那么，蘋果經(jīng)歷過哪些黑客攻擊、數(shù)據(jù)泄露和安全漏洞事件呢？

一、蘋果的黑客攻擊和數(shù)據(jù)泄露事件   

多年來，蘋果公司遭受了不少黑客攻擊，其中一些尤為嚴(yán)重。讓我們從十來年前發(fā)生的一次黑客攻擊事件講起。

1.XCodeGhost攻擊事件（2015年）  

2015年，高達(dá)1.28億iPhone用戶受到惡意軟件攻擊的影響。黑客使用了惡意版本的XCode, XCode是蘋果所有操作系統(tǒng)（包括iOS）的開發(fā)環(huán)境。利用這種名為“XCodeGhost”的惡意軟件，黑客成功入侵了蘋果應(yīng)用商店的大約50個(gè)應(yīng)用程序。那些下載了受影響應(yīng)用程序的用戶很容易受到黑客攻擊，據(jù)估計(jì)當(dāng)時(shí)約有5億用戶處于危險(xiǎn)之中。   

雖然這一龐大的預(yù)估數(shù)字實(shí)際上要小一些，但在蘋果與Epic Games的訴訟大戰(zhàn)中提供的文件顯示，仍有1.28億用戶受到影響，其中包括1800萬美國用戶。

這起事件最具爭(zhēng)議的點(diǎn)是，當(dāng)時(shí)蘋果公司決定不通知存在攻擊風(fēng)險(xiǎn)的用戶。又過了六年，公眾才意識(shí)到這起黑客攻擊的真實(shí)性質(zhì)，而這一切都是在前面提到的蘋果與Epic Games的法律審判中曝光出來的。

2.Pegasus間諜軟件（2016年起）   

臭名昭著的“飛馬”（Pegasus）間諜軟件于2016年首次發(fā)布，但直至2021年才發(fā)展成為全球知名軟件，當(dāng)時(shí)它被用來利用iOS系統(tǒng)進(jìn)行高度針對(duì)性的攻擊。Pegasus是由以色列NSO集團(tuán)開發(fā)的，后被出售給了包括印度和墨西哥在內(nèi)的許多政府和執(zhí)法機(jī)構(gòu)。

在針對(duì)蘋果的這起攻擊中，一個(gè)名為“ForcedEntry”的iOS漏洞被濫用，可以在無需用戶交互的情況下，通過iMessage在iPhone上運(yùn)行Pegasus間諜軟件。Pegasus受害者名單通常包括持不同政見者、記者或政治家，而非普通的終端用戶。蘋果公司在一份官方聲明中指出，可以使用鎖定模式等功能，以及強(qiáng)密碼和軟件更新來防御此類攻擊。

Pegasus事件發(fā)生后，美國政府將這家以色列安全軟件開發(fā)商列入了禁止名單，并在修補(bǔ)安全漏洞后起訴了這家公司。

如果您仍然擔(dān)心這個(gè)間諜軟件，可以使用Mobile Verification Toolkit（簡(jiǎn)稱MVT）工具包進(jìn)行檢測(cè)，這不是一種可以直接安裝在iPhone上并檢查間諜軟件的軟件，而是通過筆記本電腦上的命令行工具工作，需要通過電纜連接您的iPhone。   

工具包下載地址：https://github.com/mvt-project/mvt

3.SolarWinds（2021年）   

2021年，SolarWinds攻擊撼動(dòng)了整個(gè)技術(shù)和網(wǎng)絡(luò)安全行業(yè)，蘋果公司也沒能躲過這次沖擊波。

在SolarWinds攻擊期間，黑客利用iOS 14的零日代碼漏洞滲透iPhone。通過這個(gè)漏洞，黑客使用惡意域名將iPhone用戶重定向到釣魚網(wǎng)站。這反過來又允許攻擊者竊取用戶的登錄憑據(jù)，然后利用這些憑據(jù)入侵帳戶或在非法市場(chǎng)上將其出售給其他非法行為者。

4.蘋果和Meta數(shù)據(jù)泄露（2021年）   

蘋果最近的一起安全事件發(fā)生在2021年年中，當(dāng)時(shí)蘋果和Meta的員工被冒充執(zhí)法人員的黑客欺騙。在這次攻擊中，黑客首先侵入了執(zhí)法機(jī)構(gòu)的賬戶和網(wǎng)絡(luò)，然后向兩家科技巨頭的員工發(fā)送了虛假的緊急數(shù)據(jù)請(qǐng)求，敦促他們迅速做出回應(yīng)。為了回應(yīng)這個(gè)看似官方的請(qǐng)求，他們提供了用戶的IP地址、家庭住址和聯(lián)系電話。

值得注意的是，蘋果和Meta的工作人員并未因隨機(jī)請(qǐng)求而提供信息。合法的警察系統(tǒng)被攻擊者入侵以發(fā)送請(qǐng)求，這增加了鑒別真?zhèn)蔚碾y度。

二、蘋果的安全漏洞

蘋果的各種軟件程序（包括其操作系統(tǒng)）都可能成為代碼漏洞的受害者。那么，作為用戶應(yīng)該注意哪些呢？

1.內(nèi)核和WebKit漏洞（2022年）   

2022年8月，蘋果公司宣布發(fā)現(xiàn)了一個(gè)內(nèi)核漏洞（官方名稱為CVE-2022-32894），它同時(shí)存在于iOS和macOS中。根據(jù)蘋果的安全報(bào)告，這是一個(gè)“越界寫入問題”，該漏洞允許應(yīng)用程序以內(nèi)核權(quán)限執(zhí)行任意代碼。蘋果表示該漏洞已通過改進(jìn)邊界檢查得到了解決，但有報(bào)告稱其可能已被積極利用。

另一個(gè)漏洞被確認(rèn)為WebKit錯(cuò)誤（CVE-2022-32893），也是一個(gè)越界寫入問題。據(jù)蘋果安全報(bào)告稱，該漏洞使得惡意制作的Web內(nèi)容有導(dǎo)致任意代碼執(zhí)行的風(fēng)險(xiǎn)。蘋果通過改進(jìn)邊界檢查解決了這個(gè)問題。另外，同樣有報(bào)告稱此問題可能已被積極利用。

由于這兩個(gè)漏洞的存在，蘋果用戶面臨著巨大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)攻擊者能夠在內(nèi)核和WebKit級(jí)別執(zhí)行任意代碼，最終通過惡意代碼接過設(shè)備的管理權(quán)限。接下來攻擊者就能夠進(jìn)行各種形式的惡意和網(wǎng)絡(luò)犯罪活動(dòng)。

為避免漏洞遭到廣泛利用，蘋果沒有提供關(guān)于漏洞的更多詳情。同時(shí)，蘋果尚未詳細(xì)說明有多少用戶受到這些漏洞的影響，但有關(guān)這些漏洞被積極利用的警告表明，或許已有不少用戶受害。

2.Blastpass漏洞（2023年）   

2023年9月，攻擊者發(fā)現(xiàn)了蘋果的兩個(gè)零日漏洞。這些漏洞的官方名稱為CVE-2023-41064和CVE-2023-41061。

CVE-2023-41064是一個(gè)允許任意代碼執(zhí)行的緩沖區(qū)溢出漏洞，可能影響所有運(yùn)行iOS 16.6或更新版本的iPhone 8及以上機(jī)型。某些iPad型號(hào)也可能通過這個(gè)漏洞成為攻擊目標(biāo)。CVE-2023-41061是在第一個(gè)漏洞后不久被發(fā)現(xiàn)的，它是一個(gè)驗(yàn)證問題，可以通過惡意附件被濫用。

據(jù)公民實(shí)驗(yàn)室（The Citizen Lab）報(bào)道，當(dāng)同時(shí)使用時(shí)，這兩個(gè)漏洞就會(huì)形成一個(gè)被稱為“Blastpass”的漏洞利用鏈，并成為NSO集團(tuán)Pegasus間諜軟件交付鏈的一部分。Blastpass可以用來攻擊iPhone和iPad，受害者甚至無需與任何惡意網(wǎng)頁或通信進(jìn)行交互，這也就是所謂的“零點(diǎn)擊”漏洞。

然而，使用蘋果的鎖定模式可以阻止該漏洞利用鏈繼續(xù)感染您的設(shè)備。對(duì)于這兩個(gè)正在被利用的漏洞，蘋果公司也已發(fā)布了一個(gè)可用的補(bǔ)丁程序。

3.Foundation漏洞（2023年）   

2023年初，蘋果的三個(gè)零日漏洞被曝光，使許多蘋果操作系統(tǒng)面臨風(fēng)險(xiǎn)，包括iOS、iPadOS和macOS。其中兩個(gè)漏洞是在蘋果的Foundation框架中發(fā)現(xiàn)的，該框架為蘋果應(yīng)用程序提供了基本的功能和互操作。這三個(gè)漏洞分別是CVE-2023-23530、CVE-2023-23531和CVE-2023-23520，允許攻擊者在受感染的設(shè)備上遠(yuǎn)程執(zhí)行惡意代碼。   

2023年2月，蘋果公司修補(bǔ)了這三個(gè)安全漏洞，所以如果您定期更新了自己的蘋果設(shè)備，應(yīng)該不會(huì)暴露于這些危險(xiǎn)之中。

三、結(jié)語

蘋果的軟件和硬件都是高度安全的，但作為蘋果用戶仍然可能遇到風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊。無論你使用的是蘋果手機(jī)、平板電腦、電腦還是手表，永遠(yuǎn)不要對(duì)安全問題無動(dòng)于衷。只有及時(shí)了解最新的蘋果漏洞、黑客攻擊和違規(guī)行為，才能更好地保護(hù)自己，并為未來的事件做好準(zhǔn)備。

參考鏈接：https://www.makeuseof.com/apple-security-breaches-hacks-flaws-you-didnt-know-about/