面向 iOS、watchOS 和 macOS,今天蘋果發布了一個緊急更新,修復了一個重大安全漏洞。有證據表明該漏洞自今年 2 月以來就被黑客利用,能夠在用戶沒有干預的情況下在設備上安裝 Pegasus 間諜軟件。
周一,蘋果為 iOS、watchOS 和 macOS 推送了緊急更新。發布安全補丁是為了應對一個大規模的漏洞,該漏洞允許操作系統在沒有用戶互動的情況下被感染間諜軟件。
多倫多大學公民實驗室的安全研究人員上周二向蘋果公司披露了被稱為”ForcedEntry”的漏洞。該小組在分析一名沙特活動家的iPhone時發現了這個安全漏洞(CVE-2021-30860)。
這個“零點擊漏洞”利用了 iMessages 的一個弱點,即調用蘋果的圖像渲染庫,可以在沒有任何用戶干預的情況下感染設備。研究人員發現,蘋果的三個操作系統–iOS、watchOS和macOS–都存在這個漏洞。
使用的間諜軟件是以色列NSO集團開發的有爭議的PegASUS應用程序。公民實驗室說,它認為這個漏洞自2月以來一直在使用,但不知道有多少設備可能被間諜軟件感染。
公民實驗室的高級研究員約翰·斯科特·雷爾頓(John Scott-Railton)告訴《紐約時報》,這個間諜軟件可以做 iPhone 用戶在其設備上能做的一切,甚至更多。共同研究員比爾·馬爾扎克補充說,”商業間諜軟件行業正在走向黑暗”。
NSO集團堅持認為,它只向政府執法機構出售其間諜軟件,符合地區法律和法規。然而,該軟件已經出現在非犯罪人員的設備上,包括外交官、活動家和記者。此外,德國國家警察機構上周因秘密購買和使用Pegasus來監視恐怖分子和有組織犯罪成員而受到嚴厲批評。