對許多用戶而言,蘋果iOS系統的優點就是“安全”——雖然事實早已證明,iOS系統同樣存在許多漏洞,以至於蘋果要不斷通過更新來保證iOS系統和相關設備的安全性。
值得一提的是,除了蘋果不斷改進iOS系統安全性,還有一個廠商也“致力於“提升iOS安全性,它就是谷歌——這是因為谷歌成立著互聯網安全項目Project Zero,彙集了谷歌內部頂尖安全工程師,旨在發現、跟蹤和修補全球性的軟件安全漏洞,多家公司的產品(如微軟Windows和蘋果OS X)都曾被該團隊紕漏過重大安全漏洞。
近日,谷歌Project Zero發現並披露了可能影響蘋果多個操作系統的零點擊漏洞——他們在蘋果Image I/O(其任務是解析和處理圖像文件)中發現了6個漏洞,在OpenEXR(用於解析EXR圖像文件的開源庫)中發現了另外8個漏洞,不過好消息是蘋果已經修復了相關漏洞,因此用戶倒也不必太過於擔心。
據介紹,蘋果多個操作系統(iOS、MacOS、tvOS和watchOS)上運行的大多數應用程序都依賴Image I/O來處理映像元數據,因此相關漏洞為任何攻擊者提供了零點擊入侵的可能,“只要付出足夠的努力(以及由於自動重啟服務而允許的攻擊嘗試),某些已發現的漏洞就可以在零點擊攻擊場景中被用於RCE(遠程代碼執行)。”
據谷歌方便表示,該發現應該只是對Image I/O和蘋果其他圖像和多媒體處理組件進行更多研究的開始,所有這些組件都是黑客針對蘋果用戶和設備發起零點擊攻擊的一個有吸引力的攻擊面。考慮到越來越多公司正尋求入侵蘋果系統的簡單方法,蘋果的安全神話還將面臨更多挑戰,因為“目前來說多媒體處理庫提供了最明顯的入侵方式”。
另外值得一提的是,去年7月谷歌Project Zero團隊也曾公佈影響iOS系統的6個“無交互”安全漏洞:這6個安全漏洞中的4個可以導致在遠程iOS設備上執行惡意代碼,而無需用戶交互;第5個和第6個漏洞還允許攻擊者從設備內存中洩漏數據,並從遠程設備讀取文件,同樣無需用戶干預。
根據當時的報道,攻擊沒有針對特定iPhone用戶,只要用戶訪問一個受感染的網站就可能會被攻擊,而受害者方面,“可能每週影響數千名訪問者”;縱觀這些被發現的漏洞,其中一個允許攻擊者訪問私有消息,可在受害者的手機上獲得“未加密的、使用社交軟件和短信息等應用程序發送和接收信息的純文本”的數據庫文件,而用戶毫不知情。
前段時間,X菌還介紹過蘋果的郵件漏洞:其中一個漏洞可讓攻擊者通過發送消耗大量內存的郵件來遠程感染iOS設備,而另一個漏洞則可允許遠程代碼執行;利用這些漏洞,攻擊者可洩露、修改和刪除用戶的電子郵件,而它們在最新版iOS上依然有效,且黑客可利用郵件應用程序訪問任何內容,包括用戶的機密消息。
雖然蘋果在後來的聲明中表示,“尚無證據表明黑客可利用iPhone和iPad郵件漏洞進行攻擊,Mail問題本身並不足以讓黑客繞過內置的安全機制”,但也足以凸顯蘋果iOS近些年來所存在的安全隱患(漏洞)之多,不是嗎?這也難怪針對谷歌紕漏蘋果iOS漏洞,許多網友都紛紛發表了各自看法:
網友 @困在牆裡看月光:替蘋果用戶給谷歌說一句,老鐵,沒毛病哦!
網友 @廣東華南理工大學:操碎了心吶。
網友 @初見即美好:找吧找吧找漏洞。
網友 @ed某改:谷歌這團隊為了找蘋果漏洞是費盡心思了吧,估計比蘋果自家的人找的都賣力。
網友 @SelwynLee:這不是蘋果對外公開的項目嗎,能找到漏洞的蘋果還會給發錢。
網友 @命運石之門:發現漏洞提交不是個好事嗎? 難道因為是谷歌團隊發現的iOS漏洞就要被批判?而且漏洞提交之後蘋果已經修復,這有什麼好噴的?
寫在最後
其實在X菌看來,有漏洞並不可怕,只要能及時發現並快速修復,那用戶就不會遭遇太大損失,要不然蘋果也不會全面開放漏洞懸賞計劃,並給出最高150萬美元的獎勵,不是嗎?但另一方面,蘋果iOS等近些年被發現的漏洞越來越多,也應該引發用戶的警惕,在使用相關設備時一定要提醒自己,這世上沒有什麼不能被打破的銅牆鐵壁!
