據美媒ZDNet報導,谷歌旗下安全團隊Project Zero的兩名成員【納塔利·西爾瓦諾維奇(Natalie Silvanovich)和山繆·格羅(Samuel Gro)】公布了iOS系統的6個“無互動”安全漏洞中5個的詳細信息和演示用攻擊代碼。這6個“無互動”安全漏洞可通過iMessage客戶端發動攻擊,而無需用戶互動操作即可遠程執行惡意代碼。此前,蘋果發布了iOS 12.4版,修複了這6個安全漏洞,其中一個“無互動”漏洞的細節並未公布,因為iOS 12.4補丁還沒有完全解決問題。
根據安全人員的描述,六個安全漏洞中,四個漏洞:CVE-2019-8641(細節保密)、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662會被攻擊者利用向受害者發送格式錯誤的消息,一旦用戶打開並查看收到的項目,惡意代碼就會執行。剩餘兩個漏洞:CVE-2019-8624和CVE-2019-8646則允許攻擊者從設備記憶體中泄漏數據並從遠程設備讀取文件。
根據漏洞交易平台Zerodium的價格表顯示,類似於谷歌此次公布的這些漏洞,每條的價格可超過100萬美元。此次谷歌安全團隊公布的iOS漏洞價值總額已超過500萬美元,甚至接近 1000 萬美元。幸運的是,這些漏洞由安全研究人員發現的,他們無意利用這些漏洞謀利。此次漏洞發現者之一,Project Zero安全研究員Silvanovich也將於下周在拉斯維加斯舉行的黑客安全會議上發表關於遠程和無互動式iPhone漏洞的演講。
在官方完全修複安全問題之前,各位iOS用戶如果收到可疑信息請不要查看,並且盡快將iOS系統升級至 12.4,以此盡可能的保護自己信息安全。
香港九龍灣馬來街興發大廈15樓D室