Apple已釋出緊急更新以修補臭名昭著的Pegasus移動間諜軟體所利用的嚴重漏洞。
CVE-2021-30860漏洞是多倫多大學公民實驗室的研究人員在分析感染了NSO Group的Pegasus間諜軟體的匿名沙特活動家的iPhone時發現的。他們發現了針對iMessage的零日零點選漏洞,該團隊將其稱為“FORCEDENTRY”。該漏洞透過針對Apple的渲染庫感染裝置,並且對Apple iOS、MacOS和WatchOS裝置有效。
Citizen Lab對NSO Group的漏洞利用進行了“高度自信的歸因”,它認為該漏洞至少自2021年2月以來一直在使用。進一步說明,像NSO Group這樣的公司正在為不負責任的政府安全機構提供“專制即服務”。迫切需要對這個不斷增長、高利潤和有害的市場進行監管。
在實驗室將他們的發現細節報告給蘋果後,這家科技巨頭迅速釋出了補丁。現在敦促Apple客戶立即使用最新更新更新他們的裝置,該漏洞影響所有iOS版本低於14.8的iPhone、所有作業系統版本低於OSX Big Sur 11.6的Mac計算機、安全更新2021-005 Catalina,以及watchOS 7.6.2之前的所有Apple Watch。
在一份宣告中,Apple安全工程和架構負責人Ivan Krstić表示:“像所描述的那樣的攻擊非常複雜,開發成本數百萬美元,通常保質期很短,並且用於針對特定個人。”他還向客戶保證,該漏洞“不會對我們絕大多數使用者構成威脅”。
以色列公司NSO Group經常成為圍繞專制政府不道德使用Pegasus的眾多爭議的中心。Facebook正在對該公司採取法律行動,理由是該公司涉嫌利用WhatsApp中的漏洞使其客戶能夠監視全球1400多名使用者,並且還在被謀殺的沙特記者賈馬爾·卡舒吉 (Jamal Khashoggi)的手機上發現了該間諜軟體。
CNN引用了一份新的NSO集團宣告,該宣告沒有直接解決這些指控。它表示:“NSO集團將繼續為世界各地的情報和執法機構提供拯救生命的技術,以打擊恐怖主義和犯罪。”
Cybereason首席安全官Sam Curry評論這個故事,說道:
週一針對iPhone、Apple Watch和Mac中發現的一個關鍵漏洞的緊急軟體更新不應引起恐慌。這種最新的Pegasus間諜軟體傳送機制是新穎的、侵入性的,可以輕鬆感染數十億Apple裝置,但請保持冷靜,只需控制您的裝置並從Apple下載可用的軟體更新。
如果您認為自己受到感染,請按照Apple的說明進行操作,並在工作、學校等場所諮詢您的IT部門。否則,Apple的Genius Bar將能夠提供幫助。全球有近20億部iPhone、1億隻Apple Watch和超過1億臺Mac被使用,安全性對Apple來說不是奢侈品,而且不是,這是他們認真對待的責任。
ExtraHop的CTO兼聯合創始人Jesse Rothstein補充說:
我們都攜帶高度複雜的個人裝置,這些裝置對個人隱私有著深遠的影響。有很多這樣的例子,比如應用程式資料收集——蘋果最近透過其應用程式跟蹤透明度框架來遏制這種情況。
任何足夠複雜的系統都有可以被利用的安全漏洞,手機也不例外。
Pegasus是如何利用未知漏洞訪問高度敏感的個人資訊的一個例子。NSO小組是政府如何從本質上外包或購買武器化網路能力的一個例子。在我看來,這與軍火交易沒有什麼不同——只是沒有那樣監管。公司總是不得不修補他們的漏洞,但法規將有助於防止其中一些網路武器被濫用或落入壞人之手。
【GoUpSec】簡介:昇華安全佳,安全看世界。GoUpSec以國際化視野服務於網路安全決策者人群,致力於成為國際一流的調研、分析、媒體、智庫機構。
關注GoUpSec公眾號,瞭解更多網路安全資訊哦
