对许多用户而言,苹果iOS系统的优点就是“安全”——虽然事实早已证明,iOS系统同样存在许多漏洞,以至于苹果要不断通过更新来保证iOS系统和相关设备的安全性。
值得一提的是,除了苹果不断改进iOS系统安全性,还有一个厂商也“致力于“提升iOS安全性,它就是谷歌——这是因为谷歌成立着互联网安全项目Project Zero,汇集了谷歌内部顶尖安全工程师,旨在发现、跟踪和修补全球性的软件安全漏洞,多家公司的产品(如微软Windows和苹果OS X)都曾被该团队纰漏过重大安全漏洞。
近日,谷歌Project Zero发现并披露了可能影响苹果多个操作系统的零点击漏洞——他们在苹果Image I/O(其任务是解析和处理图像文件)中发现了6个漏洞,在OpenEXR(用于解析EXR图像文件的开源库)中发现了另外8个漏洞,不过好消息是苹果已经修复了相关漏洞,因此用户倒也不必太过于担心。
据介绍,苹果多个操作系统(iOS、MacOS、tvOS和watchOS)上运行的大多数应用程序都依赖Image I/O来处理映像元数据,因此相关漏洞为任何攻击者提供了零点击入侵的可能,“只要付出足够的努力(以及由于自动重启服务而允许的攻击尝试),某些已发现的漏洞就可以在零点击攻击场景中被用于RCE(远程代码执行)。”
据谷歌方便表示,该发现应该只是对Image I/O和苹果其他图像和多媒体处理组件进行更多研究的开始,所有这些组件都是黑客针对苹果用户和设备发起零点击攻击的一个有吸引力的攻击面。考虑到越来越多公司正寻求入侵苹果系统的简单方法,苹果的安全神话还将面临更多挑战,因为“目前来说多媒体处理库提供了最明显的入侵方式”。
另外值得一提的是,去年7月谷歌Project Zero团队也曾公布影响iOS系统的6个“无交互”安全漏洞:这6个安全漏洞中的4个可以导致在远程iOS设备上执行恶意代码,而无需用户交互;第5个和第6个漏洞还允许攻击者从设备内存中泄漏数据,并从远程设备读取文件,同样无需用户干预。
根据当时的报道,攻击没有针对特定iPhone用户,只要用户访问一个受感染的网站就可能会被攻击,而受害者方面,“可能每周影响数千名访问者”;纵观这些被发现的漏洞,其中一个允许攻击者访问私有消息,可在受害者的手机上获得“未加密的、使用社交软件和短信息等应用程序发送和接收信息的纯文本”的数据库文件,而用户毫不知情。
前段时间,X菌还介绍过苹果的邮件漏洞:其中一个漏洞可让攻击者通过发送消耗大量内存的邮件来远程感染iOS设备,而另一个漏洞则可允许远程代码执行;利用这些漏洞,攻击者可泄露、修改和删除用户的电子邮件,而它们在最新版iOS上依然有效,且黑客可利用邮件应用程序访问任何内容,包括用户的机密消息。
虽然苹果在后来的声明中表示,“尚无证据表明黑客可利用iPhone和iPad邮件漏洞进行攻击,Mail问题本身并不足以让黑客绕过内置的安全机制”,但也足以凸显苹果iOS近些年来所存在的安全隐患(漏洞)之多,不是吗?这也难怪针对谷歌纰漏苹果iOS漏洞,许多网友都纷纷发表了各自看法:
网友 @困在墙里看月光:替苹果用户给谷歌说一句,老铁,没毛病哦!
网友 @广东华南理工大学:操碎了心呐。
网友 @初见即美好:找吧找吧找漏洞。
网友 @ed某改:谷歌这团队为了找苹果漏洞是费尽心思了吧,估计比苹果自家的人找的都卖力。
网友 @SelwynLee:这不是苹果对外公开的项目吗,能找到漏洞的苹果还会给发钱。
网友 @命运石之门:发现漏洞提交不是个好事吗? 难道因为是谷歌团队发现的iOS漏洞就要被批判?而且漏洞提交之后苹果已经修复,这有什么好喷的?
写在最后
其实在X菌看来,有漏洞并不可怕,只要能及时发现并快速修复,那用户就不会遭遇太大损失,要不然苹果也不会全面开放漏洞悬赏计划,并给出最高150万美元的奖励,不是吗?但另一方面,苹果iOS等近些年被发现的漏洞越来越多,也应该引发用户的警惕,在使用相关设备时一定要提醒自己,这世上没有什么不能被打破的铜墙铁壁!