近日,兩位安全研究人員成功入侵了億萬富翁兼電影製片人 Jeffrey Katzenberg 的 Mac 計算機,意味着 macOS 設備並不能自動抵禦網絡威脅。雖然沒有提到特定的 macOS 設備型號,深諳社會工程的 SocialProof Security 首席執行官 Rachel Tobac 還是指出,本次攻擊是面向 Katzenberg 本人參與投資的身份盜竊保護公司 Aura 的一次技術演示。
(圖 via Apple Insider)
據悉,Tobac 利用了現已得到修復的漏洞、並且結合了社會工程技能,以欺騙 Katzenberg 點擊釣魚網站上的惡意鏈接。
在得逞之後,攻擊者便可竊取受害者 Mac 上的照片、電子郵件和聯繫人等隱私信息。
Ethical hackers prove having a Mac doesn’t make you immune to cyberattacks(via)
更讓人感到驚悚的是,黑客甚至能夠在不觸發 macOS 內置麥克風指示器的情況下,悄然開啟 Mic 並監聽受害者的談話內容。
Tobac 的丈夫 Evan(也是一名黑客兼安全研究人員),在另一條推文中介紹了本次 macOS 漏洞利用的更多細節。
可知攻擊方案基於 Ryan Pickren 的安全研究而構建,當初他因發現 Safari 的跨站腳本漏洞而獲得了 10.05 萬美元的獎勵。更確切地說,黑客可通過 iCloud 鏈接和 Safari 的共享偏好來開展底層漏洞利用攻擊。
不過對於普通 macOS 用戶來說,還請不要連續漏過多次版本更新、並養成良好的使用習慣(不輕易點擊可疑的郵件連接),不然就會像 Katzenberg 的 Mac 一樣易被侵入。