安全圈苹果紧急发布iOS935真
苹果今天凌晨比较意外地放出了iOS9.3.5的正式版,本次更新距离iOS9.3.4正式版仅仅三周。更新的iOS9.3.5正式版和iOS9.3.4正式版类似,更新包只有39.8MB。并且苹果在更新文件中表示“推荐所有用户安装。”这究竟是为什么呢?
据今日美国报报道,安全研究人员宣称,一种罕见、强大而又非常昂贵的间谍软件正被用于针对中东地区持不同政见者的iPhone。这种间谍软件可以利用iPhone和iPad移动操作系统中的漏洞发动攻击,苹果已经针对其发布安全升级。也就是本次的iOS9.3.5正式版。
苹果在随后的声明中称:在了解到移动操作系统存在漏洞后,他们立即修复了漏洞。苹果建议用户下载最新版本的移动操作系统iOS9.3.5,以便提供更好的安全防护。
回顾一下苹果在前段时间面向开发者推送的iOS9.3beta5更新版中加入的一些“可怕”功能,除了能够在夜间过滤蓝光的NightShift功能外,其中一项还可以提醒用户的设备是否遭到别人的监控。
此外,根据测试者公布的截图,iOS9.3beta5还能检测出iPhone是否正接受别人管理。比如下图显示,手机的设置中也会告知用户“这部iPhone正受到监控”。
这项新功能对个人用户来说是非常重要的改变,它也提醒了使用公司管理或者公司所有的iPhone用户平时应当注意信息安全。但没想到的是苹果在更新后出现了安全漏洞。
美联社首先报道了苹果推出新补丁的消息,并称阿联酋持不同政见者艾哈迈德·曼苏尔(AhmedMansoor)的iPhone6上发现功能强大的间谍软件。曼苏尔在手机上收到文本信息,邀请他点击网页链接,此后这段信息被转发给多伦多大学下属公民实验室的研究人员。
公民实验室的研究人员与美国加州旧金山的移动安全公司Lookout合作,对其进行分析。在Lookout网站上发布的贴文中,研究人员称发现“针对iOS系统复杂的、持续不断的移动攻击,攻击者使用我们称为‘三叉戟’的3种‘零日漏洞’。”
公民实验室的研究人员约翰·斯科特-雷尔顿(JohnScott-Railton)说,他们追踪曼苏尔收到文本信息中的链接,它与NSO组织有关。这家公司位于以色列,自诩为“网络战公司”,出售名为Pegasus的间谍软件产品。
斯科特-雷尔顿与同事比尔·马尔恰克(BillMarczak)在贴文中称:“这种复杂而强大的间谍软件成本非常高,近来类似的数字工具售价达到万美元。其利用的漏洞允许黑客侵入iOS设备中,从Facebook、WhatsApp、FaceTime、Gmail以及Calendar等应用中收集有关设备所有者的信息。”
Lookout网络安全专家安德鲁·布里奇(AndrewBlaich)表示:“鉴于苹果公司修复漏洞的速度超快,我们认为新出现的这些漏洞影响非常大。几周前,公民实验室发现了安全漏洞,并立即通报了苹果。”
在获知这一漏洞后,苹果迅速开始进行修复工作,而且效率很高,并在今天正式发布了一个版本更新来修复这个漏洞。鉴于安全等级的重要性,我们也建议用户尽早升级至iOS9.3.5。
苹果设备向来以安全著称,甚至为杰米圣贝纳迪诺枪手的iPhone与FBI对薄公堂。但是FBI最终在没有苹果公司的帮助下解密了这部手机,据说他们支付多万美元费用向职业黑客求助。苹果始终是安全消费产品领域的领先者,这部分是因为该公司牢牢控制着iPhone平台。但这也吸引了更多黑客想要侵入苹果产品中。
