最近,中国某安全实验室对苹果的新发布的M1芯片进行安全测试发现,其存在高危漏洞,这可能影响到包括苹果12系列,这是实验室每年都会进行的"例菜",今年也是,腾讯玄武实验室今年照例对Apple M1进行了测试,系统最高权限一举被攻破。而这一权限可以被特定人员自由访问用户的通讯录、照片、文件等隐私信息。
那么究竟是怎么回事呢?苹果又如何对待这样的情景呢?
苹果耗巨资打造的M1芯片,库克包括业内人士都寄予厚望,这将是取代英特尔、AMD处理器,降低成本,提高性能的好机遇。
11月19日消息,腾讯玄武实验室在此次的新品检测视频中表示,目前利用新发现的苹果安全漏洞成功攻破了MacBook。这可能是第一个公开的可以影响Apple M1芯片设备的安全漏洞。目前腾讯安全玄武实验室已将此漏洞报告给苹果安全团队。
在公布的视频显示,扮演攻击者的安全测试人员在MacBook Air(设备型号:M1 MacBook Air 2020,macOS Big Sur 11.0.1)测试样品上"动手了",打开其所有系统保护后,在非常短的时间内获得了系统的最高权限(root权限)。而这一权限,可以用来自由访问用户的通讯录、照片、文件等隐私信息。如果被利用后果将不堪设想,需要注意的是,任何恶意的 App 开发者都可以利用此漏洞。
同时这也是全球比较早公开的能影响苹果 Apple Silicon 芯片设备的安全漏洞,演示过程中在用户不知不觉中重要的信息就被发送出去了,这可不是开玩笑了,以系统安全的著称的苹果对此十分重视,估计安全补丁已经打上了。
据悉为了避免漏洞被恶意利用,腾讯安全玄武实验室已将此漏洞的技术细节报告给苹果安全团队,这次库克又得感谢腾讯玄武实验室了。
为什么说又呢?其实早在3年前苹果推出 iOS 11 系统更新不久,实验室就在 iOS11 和 Safari 11 前期的版本中分别发现了一个编号为 "CVE-2017-7085" 的漏洞和另一个 Webkit 的高危漏洞。此漏洞的攻击原理属于" URL 欺骗漏洞",也被称为:地址栏欺骗,可以让恶意开发者用来篡改用户当前地址栏中的 URL,从而达到绕过安全监测的可能性。
举个例子本来你是要访问某个信任的网站,但是被人修改之后,虽然你打开后很像你要访问的网站,且地址栏看着也是一样,单当你输入用户名和密码后,你的账号就成了别人的收获了,也就是俗称的钓鱼。实验室发现后报告给了苹果,在事后库克特意感谢了腾讯玄武实验室。
此处发现的漏洞更狠,一下子将通讯录、相册都能扒拉走,在我们高频率使用手机,重要信息都留存手机的今天,真的后怕。按照惯例实验室已经将此漏洞告诉苹果,看来库克又要感谢实验室了。
而一般用户能怎么办呢?及时更新打补丁就可以了。当然在信息时代,无论是百密一疏,还是其他原因,经过安全测试是不断完善安全体系的方式之一。
页面更新:2024-04-23
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号