FX168財經報社(香港)訊 公民實驗室(Citizen Lab)在周五(9月8日)發布消息稱,在蘋果設備上發現兩大安全漏洞,警告其中ImageIO漏洞非同小可,主要與Pegasus木馬工具所用的零日漏洞有極大關連,即使用戶不點擊或下載,仍可能在不知情下被入侵。官方緊急推出新版修正,呼籲用戶盡快升級為iOS 16.6.1避免面對攻擊。
據公民實驗室在推特表示:“我們敦促大家盡快更新其蘋果設備,因為發現了一個被積極利用的零點擊漏洞和零日漏洞,該漏洞被用來傳播以色列網絡武器公司NSO Group的飛馬間諜軟件(Pegasus)。”
(來源:Twitter)
根據其發布的報告,該漏洞鏈稱為BLASTPASS,能夠在沒有受害者任何交互的情況下,入侵運行最新版本iOS 16.6的iPhone手機。該漏洞涉及含有惡意圖像的PassKit附件,這些圖像從攻擊者的iMessage帳戶發送給受害者。
公民實驗室已向蘋果披露了其發現,並協助他們進行了調查。蘋果針對此漏洞鏈發布了兩個CVE,分別是CVE-2023-41064和CVE-2023-41061。他們呼籲用戶立即更新蘋果設備,並敦促那些由於自己的身份或工作而面臨更大風險的人啟用Lockdown模式。
蘋果的安全工程和架構團隊已確認,Lockdown模式可以阻止這種特定攻擊。
據悉,飛馬間諜軟件是一款特洛伊木馬軟件,通過飛馬能夠監控受害設備所有活動,還能控制麥克風和攝像頭的開關。飛馬可以在受害者不知情的情況下,解密其加密通信,例如Whatsapp、臉書、Line、微信等應用程序,且不需要借助運營商的協助。
2022年, NSO Group的飛馬間諜軟件遭到蘋果提告,更被谷歌資訊安全團隊Project Zero譽為史上最複雜的漏洞之一,其中還使用GIF檔案即可造成設備引發資安危機。受到飛馬攻擊設備,會導致駭客能透過遠端監控鏡頭、麥克風、訊息和電子郵件等敏感信息,並能夠獲取和搜集用戶個人資料。
實際上,飛馬是在政府和執法機構認可下所開發的軟件,通常NSO Group不會將飛馬工具出售給普通用戶,對於購買飛馬軟件的實體,大多是進行監控,如2022年7月監控名單共達到5萬多筆電話號碼,內包含65名企業高層、85位維權人士、189名記者和600多名政治人物與外交官,就連同多國總統也都包含在內。
蘋果認為NSO Group所研發間諜軟體已經濫用和損害使用者隱私,並且在2022年11月23日提告,並永久禁止使用任何蘋果軟件、裝置和服務,還要賠償逾7萬美元,並且被美國當局列為出口管制黑名單。
緊急修複問題後,蘋果釋出的iOS 16.6.1可視為iOS 16.6的安全性修正版本,盡管iOS 16.6.1更新說明並不是很詳細,但從蘋果安全內容說明頁面得知,iOS 16.6.1修複兩個主要安全漏洞。
(來源:Apple)
iOS 16.6.1更新第一個主要漏洞與ImageIO有關聯,這算是iOS系統的圖像框架,此漏洞是由多倫多大學蒙克學院公民實驗室發現,黑客能透過制作惡意圖檔進行攻擊,當用戶開啟圖片時,將引起系統安全漏洞導致能夠執行任意代碼,導致受害設備在不知情狀態下安裝NSO Group飛馬間諜軟件。
第二個修補的漏洞為Wallet錢包應用程式,蘋果發現有惡意制作的附件檔案會導致Apple Wallet引發漏洞,造成系統能夠執行任何代碼。
以上兩個漏洞受影響設備包含iPhone 8或以上設備,更新機型、iPad Pro、iPad Air第3代及更新機型、iPad第5代及更新機型以及iPad mini第5代及更新機型,同時蘋果也推送iPadOS 16.6.1、watchOS 9.6.2及macOS 13.5.2更新修正解決ImageIO與錢包漏洞。
