iOS 史上最复杂的漏洞?轻易盗取隐私数据!
发表时间:Fri Dec 29 2023 16:36:08 GMT+0800 (中国标准时间)
iOS 系统除了流畅以外,安全性也是其特色之一。所以当能在 iOS 上找到漏洞,都会得到不少人的关注。近日,卡巴斯基在混沌通信大会上公开了被其称为有史以来最复杂的漏洞,并为该漏洞命名为「Operation Triangulation」。
该漏洞的攻击是通过 iMessage 发送一个恶意的 iMessage 附件给对方,对方无需点击 iMessage,远程代码会自动执行。该漏洞链包含了多种技术,如面对返回/跳转的编程、JavaScript 混淆以及 JavaScriptCore 和内核内存的操作。
攻击过程中的一个关键部分是通过特殊的硬件控制来绕过苹果的安全保护,其中涉及到 CVE-2023-41990、CVE-2023-32434 和 CVE-2023-38606 等漏洞。
利用漏洞,攻击者可以访问 iPhone 的所有内存,并获得完全控制权,以执行进一步的操作。例如将录音、图片、位置信息和其他隐私数据发送到攻击者的服务器。
要成功利用这个漏洞,必须要对苹果产品最底层的机制有非常全面细致的了解。研究人员表示「无法想象这个漏洞是如何被意外发现的」,他认为除了苹果和 ARM 之外,几乎不可能有人能获知这个漏洞。
可以放心的是,苹果已经在 iOS16.2 中修复了相关的漏洞。其实,一般人被攻击的几率很低,如果实在担心,把系统升级到 iOS16.2或更高版本即可。
往期精选
听说「在看」和「点赞」会震动
不信?点它一下试试
