重磅!苹果M1曝出首个高危漏洞:中国人发现
蘋果換芯了,安全漏洞也來(lái)了。
就在剛剛,騰訊安全玄武實(shí)驗(yàn)室對(duì)外公布了他們近期發(fā)現(xiàn)的一個(gè)蘋果的安全漏洞。
據(jù)悉,這個(gè)漏洞不僅影響最新的基于 M1 芯片的 MacBook Air、MacBook Pro,也會(huì)影響今年新推出的 iPhone12、iPhone12 Pro 系列產(chǎn)品。
同時(shí)這也是第一個(gè)公開的能影響蘋果 Apple Silicon 芯片設(shè)備的安全漏洞。
從騰訊提供的視頻中可以看到,在 MacBook(設(shè)備型號(hào):M1 MacBook Air2020,macOS Big Sur 11.0.1)上,攻擊者在打開所有系統(tǒng)保護(hù)的情況下,在一秒之內(nèi)獲取到了系統(tǒng)的最高權(quán)限(root身份),從而可以任意讀寫設(shè)備中存儲(chǔ)的通訊錄、照片、文件等用戶隱私。
需要注意的是,任何惡意的 App 開發(fā)者都可以利用此漏洞。
不過(guò),目前這個(gè)漏洞應(yīng)該沒(méi)有被真正利用。
同時(shí),玄武實(shí)驗(yàn)室還發(fā)現(xiàn),蘋果 iPhone 12 系列手機(jī)也存在同樣的安全問(wèn)題。
在 iPhone12 Pro 的系統(tǒng)設(shè)置里關(guān)掉漏洞演示 App 讀取相冊(cè)、通訊錄的權(quán)限之后,該 App 仍然能讀取到相冊(cè)和通訊錄并發(fā)送給攻擊者。
更見(jiàn)鬼的是,這一攻擊行為,用戶幾乎是感受不到的。
也就是說(shuō),一旦這一漏洞被惡意利用,App 開發(fā)者可以繞過(guò)系統(tǒng)的權(quán)限設(shè)置,越權(quán)讀取用戶設(shè)備上的通訊錄、照片、賬號(hào)密碼等隱私信息,并發(fā)送給攻擊者。
為了避免漏洞被惡意利用,騰訊安全玄武實(shí)驗(yàn)室已將此漏洞的技術(shù)細(xì)節(jié)報(bào)告給蘋果安全團(tuán)隊(duì)。
而現(xiàn)在,對(duì)于普通用戶來(lái)說(shuō)能做的只有等待蘋果發(fā)布新的安全補(bǔ)丁了。
這已經(jīng)不是騰訊玄武實(shí)驗(yàn)室第一次為蘋果找到安全漏洞了。
早在 2017 年,在蘋果推出 iOS 11 不久,騰訊玄武實(shí)驗(yàn)室在 iOS11 和 Safari 11 之前的版本中分別發(fā)現(xiàn)了一個(gè)編號(hào)為 CVE-2017-7085 的漏洞和另一個(gè) Webkit 的高危漏洞。
此漏洞的攻擊原理屬于 URL 欺騙漏洞,或稱地址欄欺騙,可以讓黑客篡改用戶當(dāng)前地址欄中的 URL。
比如當(dāng)用戶訪問(wèn) A 網(wǎng)站,假如被黑客修改了后,雖然你打開后發(fā)現(xiàn)很像 A 網(wǎng)站,但其實(shí)這個(gè)頁(yè)面可能是仿制的,當(dāng)你輸入用戶名和密碼,你的賬戶就被盜取了,其實(shí)就是俗稱的釣魚網(wǎng)站。
蘋果在事后特意感謝了騰訊玄武實(shí)驗(yàn)室。
看來(lái)這一次庫(kù)克又要感謝一次騰訊玄武實(shí)驗(yàn)室了。
總結(jié)
以上是生活随笔為你收集整理的重磅!苹果M1曝出首个高危漏洞:中国人发现的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 半条命全秘籍-Half-life秘籍
- 下一篇: 半条命2全秘籍-Half-life2秘籍