路人嗶嗶嗶:iPhone 用戶請注意

今早起床後,iPhone 用戶的手機一定都陸續接到了蘋果官方提供的最新版本(9.3.5)升級通知,這次可千萬別無所謂地忽略! 本次升級包含了一個高危組合漏洞的補丁升級,據了解,這個組合漏洞可是利用了 3 個 iOS 0day (此處有個霸氣的名字:三叉戟),可以實現遠程執行任意代碼、訪問系統內存並獲得系統許可權,再不升級,就相當於口袋裡裝了個「小間諜」噢,隱私實時泄露不是夢!

今年的 8 月 10 日和 11 日,酋長國人權組織首腦 Ahmed Mansoor 收到了一條包含鏈接的信息, Mansoor 隨後把該信息發送給了 Citizen Lab 的研究者。研究發現,該鏈接可以自動在 iPhone 上安裝間諜軟體,完成激活相機和麥克風、記錄手機上所有通訊軟體內容,以及一切你想得到想不到的功能,而該鏈接屬於一個以色列的組織 NSO Group。

帶著這樣一個手機,你還敢和親愛的大膽聊騷么?還敢肆無忌憚在手機里放私房照么?還敢在家不穿衣服嗎?(如果你沒有這個習慣的話請忽略...)

有關本次漏洞的技術細節,此處可以出門右轉,去隔壁盤古團隊博客查看也許是最全最權威的技術細節分析文,鏈接如下: Pegasus – 針對iOS設備的APT攻擊分析

「三叉戟」漏洞出現,雖然最開始是用於監控可憐的酋長國人權組織首腦,但是蘋果推出補丁後,不保證不會有壞傢伙通過分析補丁代碼,利用漏洞對我們這些不懂安全的路人進行攻擊。

So,作為一個路人,還是小小呼籲一下大家儘快升級吧。除了 iOS9,安裝 iOS10 Beta 版的朋友們最好也更新一下系統,畢竟目前並沒有信息透露道 iOS10 的版本是安全的。另外,據知情人爆料,以色列組織在本次事件中可能並沒有那麼高的技術含量——他們只是操作漏洞的人,漏洞也許是從地下黑市買來的。

想想當初的震網事件,只想說:以色列怎麼這麼愛搞事兒!

對了,對於我們這些不懂安全的路人來說,不明不白的鏈接千!萬!不!要!點!

推薦閱讀:

Dirty Cow, CVE-2016-5195漏洞的危害大概怎麼樣,有沒有修復方案建議?
談談攜程支付日誌泄漏與用戶隱私
[月餅向]論漏洞和自動化腳本的區別
熱門MySQL開源管理工具phpMyAdmin < 4.7.7 CSRF漏洞
操作系統為什麼都有無數的漏洞?是故意留下的還是技術上無法達到完美?

TAG:iPhone | 安全 | 漏洞 |