Apple 設備系統最近面臨了許多安全性方面的考驗,好在在研究組織 Citizen Lab 地幫忙揭露下,最近一個名為「ForcedEntry」的攻擊漏洞,已經被官方確認并提出了建議,建議所有用戶安裝此次的「重要更新」。
這次的更新范圍可以說是幾乎所有的蘋果移動設備甚至是桌機都包含在內,也應該都已經可以在各位手上的 iphone、iPod Touch、iPad、Apple Watch 與 mac 設備,系統中的軟件更新里找到包括 IOS / iPadOS 14.8、watchOS 7.6.2 等安全性更新提示。
這次的更新真的建議大家有收到就盡快更新,因為 ForcedEntry 是一種不需點擊的 Zero Click / Zero Day 零時差攻擊的手法,也就是你可能不知不覺就已經被有心人士取走了個資等重要資料。 Citizen Lab 揭露這個據了解為以色列黑客公司 NSO Group 所開發的攻擊方式。 這間公司,也是前些日子宣稱透過Pegasus間諜應用繞過iOS 14特別開發的BlastDoor沙盒保護機制的開發者。
▲圖片來源:Apple
ForcedEntry 據稱利用的是 iMessage 傳訊服務針對圖片顯示的運算程序漏洞,來達成零時攻擊的效果。 蘋果的安全工程架構主管 Ivan Krsti? 后續也向外媒 TechCrunch 提到,十分感謝 Citizen Lab 提供此漏洞回報的努力,才得以讓蘋果能快速釋出修正的更新。 Citizen Lab也提到,最近觀察到了傳訊服務如:iMessage等應用,越來越常成為國際黑客組織的攻擊目標。 而這次的漏洞也突顯了類似的系統安全挑戰將更為嚴峻。
本文由“科技洞見未來”發布,2021年9月14日
