安全動(dòng)態(tài)

那個(gè)最可怕的iOS漏洞,連macOS也不放過

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-09-05    瀏覽次數(shù):
 

信息來源:比特網(wǎng)

全宇宙最厲害的存在,不是神馬CEO,也不是UFO,而是NSO。

這個(gè)名為NSO Group的以色列“間諜公司”不久前剛剛被曝光,使用一組逆天的iOS漏洞攻擊了一位社會(huì)名流。這顯然不是他們第一次“作案”。

為了封堵這組漏洞,蘋果緊急發(fā)布了iOS 9.3.5升級(jí)補(bǔ)丁。

而當(dāng)全世界的黑客對(duì)蘋果發(fā)布的漏洞詳情仔細(xì)研究之后才發(fā)現(xiàn),這些漏洞已經(jīng)難以用“逆天”來形容了。使用這些漏洞,NSO居然可以實(shí)現(xiàn)遠(yuǎn)程越獄任何一部手機(jī),進(jìn)而監(jiān)控手機(jī)上的所有隱私。

/uploadImages/2016/09/20160904155830516.jpg

受害者曼蘇爾收到的兩條短信,點(diǎn)擊鏈接手機(jī)就會(huì)被控制

NSO簡(jiǎn)直就是代替了上帝的功能。

為了紀(jì)念這三個(gè)“上帝漏洞”,安全研究員給他們命名為:三叉戟漏洞。

簡(jiǎn)單科普一下,三叉戟漏洞的“三叉”分別為:

1、遠(yuǎn)程突破iOS的Safari瀏覽器漏洞;

2、使內(nèi)核信息泄露的漏洞;

3、用于在內(nèi)核中執(zhí)行任意代碼的漏洞。

事件一出,輿論嘩然。全世界人民連夜升級(jí)了安全的iOS 9.3.5,然后喝著茶水吃著瓜子長(zhǎng)吁短嘆了一番,也就各自散去了。

然而,事情看起來并不是這么簡(jiǎn)單。

/uploadImages/2016/09/20160904155830339.jpg

三叉戟漏洞詳情

就在今天,蘋果冷不丁放出macOS上的重磅升級(jí),安全研究員震驚地發(fā)現(xiàn),這些升級(jí)恰恰封堵了NSO Group對(duì)于macOS的致命攻擊!

這時(shí),人們才猛然意識(shí)到。原來不僅僅是iPhone,在每一臺(tái)MacBook中,也靜靜地躺著一個(gè)桌面系統(tǒng)版的“三叉戟”。

現(xiàn)在看來,macOS的“三叉戟”攻擊方法大致如下:

1、攻擊macOS的Safari瀏覽器,在你的MacBook上站穩(wěn)腳跟;

2、利用內(nèi)核信息泄露漏洞,突破系統(tǒng)的安全機(jī)制;

3、利用內(nèi)核沖突漏洞,把macOS搞蒙圈,趁機(jī)執(zhí)行任意攻擊代碼。

/uploadImages/2016/09/20160904155831561.jpg

讓人不寒而栗的是:

沒有人知道這些工具已經(jīng)被出售給多少個(gè)國家;

也沒有人知道這些工具究竟用來監(jiān)視了多少人;

更沒有人知道世界上有多少人因此被人肉、被監(jiān)視、被喝茶、被自殺。

為了你的身體健康,我們建議:

1、升級(jí)你的iOS系統(tǒng)到9.3.5版本。

2、升級(jí)你的macOS到Y(jié)osemite 10.10.5或 El Capitan10.11.6版本。

3、升級(jí)你的macOS Safari到9.1.3版本。

 
 

上一篇:2016年09月04日 聚銘安全速遞

下一篇:E店寶ERP,搭建起電商平臺(tái)與商家之間的業(yè)務(wù)橋梁