百密一疏？中国实验室发现苹果M1芯片高危漏洞，库克又得感谢了

最近，中国某安全实验室对苹果的新发布的M1芯片进行安全测试发现，其存在高危漏洞，这可能影响到包括苹果12系列，这是实验室每年都会进行的"例菜"，今年也是，腾讯玄武实验室今年照例对Apple M1进行了测试，系统最高权限一举被攻破。而这一权限可以被特定人员自由访问用户的通讯录、照片、文件等隐私信息。

那么究竟是怎么回事呢？苹果又如何对待这样的情景呢？

苹果耗巨资打造的M1芯片，库克包括业内人士都寄予厚望，这将是取代英特尔、AMD处理器，降低成本，提高性能的好机遇。

11月19日消息，腾讯玄武实验室在此次的新品检测视频中表示，目前利用新发现的苹果安全漏洞成功攻破了MacBook。这可能是第一个公开的可以影响Apple M1芯片设备的安全漏洞。目前腾讯安全玄武实验室已将此漏洞报告给苹果安全团队。

在公布的视频显示，扮演攻击者的安全测试人员在MacBook Air（设备型号：M1 MacBook Air 2020，macOS Big Sur 11.0.1）测试样品上"动手了"，打开其所有系统保护后，在非常短的时间内获得了系统的最高权限（root权限）。而这一权限，可以用来自由访问用户的通讯录、照片、文件等隐私信息。如果被利用后果将不堪设想，需要注意的是，任何恶意的 App 开发者都可以利用此漏洞。

同时这也是全球比较早公开的能影响苹果 Apple Silicon 芯片设备的安全漏洞，演示过程中在用户不知不觉中重要的信息就被发送出去了，这可不是开玩笑了，以系统安全的著称的苹果对此十分重视，估计安全补丁已经打上了。

据悉为了避免漏洞被恶意利用，腾讯安全玄武实验室已将此漏洞的技术细节报告给苹果安全团队，这次库克又得感谢腾讯玄武实验室了。

为什么说又呢？其实早在3年前苹果推出 iOS 11 系统更新不久，实验室就在 iOS11 和 Safari 11 前期的版本中分别发现了一个编号为 "CVE－2017－7085" 的漏洞和另一个 Webkit 的高危漏洞。此漏洞的攻击原理属于" URL 欺骗漏洞"，也被称为：地址栏欺骗，可以让恶意开发者用来篡改用户当前地址栏中的 URL，从而达到绕过安全监测的可能性。

举个例子本来你是要访问某个信任的网站，但是被人修改之后，虽然你打开后很像你要访问的网站，且地址栏看着也是一样，单当你输入用户名和密码后，你的账号就成了别人的收获了，也就是俗称的钓鱼。实验室发现后报告给了苹果，在事后库克特意感谢了腾讯玄武实验室。

此处发现的漏洞更狠，一下子将通讯录、相册都能扒拉走，在我们高频率使用手机，重要信息都留存手机的今天，真的后怕。按照惯例实验室已经将此漏洞告诉苹果，看来库克又要感谢实验室了。

而一般用户能怎么办呢？及时更新打补丁就可以了。当然在信息时代，无论是百密一疏，还是其他原因，经过安全测试是不断完善安全体系的方式之一。