苹果产品出现漏洞？并“可能已被积极利用”

美国当地时间周一(9 月 13 日），苹果发布了针对一个具有严重威胁的“零日漏洞”的安全补丁，该漏洞影响到苹果所有产品，包括 iPhone、iPad、Mac 和 Apple Watch。

苹果表示，iPhone 和 iPad 运行的 ios 14.8，以及 Apple Watch 和 MacOS 的更新系统，将修复至少一个零日漏洞，并承认该漏洞“可能已被积极利用”。

这个漏洞是加拿大多伦多大学下属“公民实验室”（Citizen Lab）首先发现的，并敦促其用户立即更新他们的设备。它利用了苹果 iMessage 中的一个漏洞，该漏洞被利用来将以色列公司 NSO Group 开发的“飞马”（Pegasus）间谍软件推送到苹果手机上。 值得一提的是，“飞马”间谍软件允许其客户几乎不受任何阻碍地访问目标的设备，包括他们的个人数据、照片、消息和位置信息。

此次发现的漏洞非常严重，因为它利用了当时最新的 iPhone 软件，包括苹果在 5 月份发布的 iOS 14.4 和后来的 iOS 14.6。同时，该漏洞也突破了苹果在 iOS 14 中发布的新防御系统 BlastDoor，可见该间谍软件是相当地成熟的。

在最新的调查中，公民实验室表示，他们在一名沙特活动人士的 iPhone 上发现了 ForcedEntry 漏洞被利用的证据，当时该手机运行的是最新版本的 iOS。研究人员表示，这一漏洞利用了苹果设备在显示器上渲染图像的弱点。到目前为止，同样的 ForcedEntry 漏洞可以在所有运行最新软件的苹果设备上运行。

公民实验室声称，他们已经于 9 月 7 日向苹果报告了最新发现。苹果随后推出了该漏洞的补丁，官方名称为 CVE-2021-30860。公民实验室表示，通过之前没有公布的证据，他们坚信 NSO Group 利用了 ForcedEntry 漏洞。

希望苹果推出的安全补丁可以有限地防止漏洞，保护用户的数据隐私。