9月14日,苹果对旗下包括 iOS、macOS 和 watchOS在内的多个平台的操作系统进行了一次版本更新,本次更新的iOS 14.8系统版本没有任何新功能上线,而是以紧急更新的方式修复了一个被间谍软件Pegasus滥用的零点击漏洞。
据悉,该漏洞由加拿大多伦多大学下属“公民实验室”Citizen Lab首先发现,Citizen Lab安全研究人员表示,以色列一家臭名昭著的NSO Group间谍情报软件公司已经广泛利用该漏洞,将旗下的间谍软件Pegasus无感知的安装到苹果设备上,该间谍软件可以任意窃取监听目标苹果手机、电脑以及手表中的数据、密码、照片、位置信息等,甚至还可以远程激活手机的麦克风和摄像头。
据此前外媒报道,在一份从NSO Group间谍情报软件公司客户手里泄露出来的监控名单中,NSO Group正在对全球50多个国家的1000余人进行监控,其中包含至少65名企业高管、85名人权活动人士、189名记者以及600多名政界人士和政府官员。其中,来自阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、墨西哥、摩洛哥、卢旺达、沙特阿拉伯和阿拉伯联合酋长国的人占了多数。据证实,包括法国总统马克龙和其他 13 位国家元首和政府高官的手机号码也都处在监视名单中。
Citizen Lab表示,该漏洞非常严重,它存在于当前最新的iPhone系统中,包括苹果在今年5月份发布的iOS 14.4和iOS 14.6。同时,该漏洞也突破了苹果在iOS 14中发布的新防御系统BlastDoor,这些防御系统本应通过过滤潜在的恶意代码来防止静默攻击。公民实验室称这种特殊的漏洞为ForcedEntry,因为它有能力绕过苹果的BlastDoor保护。
苹果相关负责人称,普通用户不应该对此感到恐慌,因为Pegasus间谍软件并不会对普通用户的手机和其他苹果设备发起攻击,但考虑到漏洞的严重程度,苹果督促用户尽快更新iOS 14.8,macOS Big Sur 11.6和 watchOS 7.6.2。
在一份声明中,苹果安全工程和架构主管伊凡·克尔斯蒂克(Ivan Krstić)证实该公司已经发布安全补丁。他表示:“在发现iMessage的漏洞后,苹果迅速在iOS 14.8中开发并部署了修复程序,以保护我们的用户。在此也要夸赞Citizen Lab成功获得了这个漏洞的样本,以便我们能够快速开发修复程序。”