据媒体报道,苹果周三(8月17日)发布两份安全报告,承认该公司的智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。公开资料查询显示,该漏洞报告于2022年6月9日,漏洞编号为CVE-2022-32894和CVE-2022-32893,主要影响以下两部分:内核:应用程序可能执行任意代码.Webkit:处理恶意制作的Web内容可能会导致任意代码执行。值得注意的是,一旦这些漏洞被黑客利用,黑客可以直接获取设备的管理权限。苹果还指出,该漏洞很可能已被利用,并强烈敦促用户更新系统修复该漏洞。Apple的紧迫性源于漏洞的严重性。根据其发布的两份报告,几乎所有的苹果设备都受到了影响。其中,受影响的手机型号可以追溯到2015年发布的iPhone6S,这意味着市面上几乎所有在用的iPhone都面临着该漏洞的威胁。受影响的iPad为2017年发布的第五代及后续版本、iPadmini4及后续机型、所有iPadPro版本、iPadAir2、iPodtouch(第七代)等产品。计算机会受到所有运行macOSMonterey的Mac的影响;浏览器包括macOSBigSur和macOSCatalina。由此可见该漏洞的恐怖程度,其威力几乎可以媲美软件后门。随后,“苹果自曝严重安全漏洞”的消息迅速冲上各大社交平台热搜榜,并被提及为微博热搜榜第一,引来无数网友参与讨论。许多网友对苹果的安全表示担忧。毕竟一向以安全着称的苹果设备,在一次漏洞面前险些被淘汰。同时,由于漏洞的披露时间晚于黑客利用漏洞的时间,有网友表示“非常不安”,甚至有人担心自己的隐私信息在不知情的情况下被泄露。但也有专家表示,不必过分担心。黑客几乎不会对普通人的信息“感兴趣”,更不会花时间和精力在“监听”上。对此,有网友表示“哭笑不得”,“一文不值”成为普通人保护个人隐私的最佳防线。漏洞正在成为Apple产品的常态。近年来,随着苹果产品市场份额的不断攀升,苹果暴露的安全漏洞数量也呈上升趋势,漏洞的危害性也越来越大。仅在2020年和2021年期间,就有数十个零日漏洞被公布。例如,2020年4月,Apple透露其默认邮件程序存在两个0day漏洞。攻击者利用这些漏洞可以在多个版本的iOS系统上实现远程代码执行,影响全球超过10亿台Apple设备。据悉,这两个漏洞已经存在了8年,从iOS6一直影响到现在的iOS13.4.1。更可怕的是,至少从2018年1月开始,许多组织开始在野外利用这两个零日漏洞。北美、日本、德国、沙特阿拉伯、以色列等国家的企业高管首当其冲遭受针对性攻击,而用户几乎察觉不到异常。截至目前,苹果已经正式承认该漏洞,并表示已经开发出修复方案,并将尽快推出安全更新。2021年7月,苹果曝光了一个高危漏洞。根据大赦国际发布的一份报告,用户无需点击任何链接或应用程序,攻击者就可以使用间谍软件窃取iPhone上的敏感数据。报告称,用NSOGroup的Pegasus恶意软件感染iPhone可能会让攻击者窃取消息和电子邮件,甚至控制手机的麦克风和摄像头。一些政府机构使用NSOGroup软件,黑客可以通过Apple不知道的方式窃取数据,并且保持iPhone软件为最新版本并不能阻止攻击者使用昂贵的机密间谍软件。2021年10月,苹果公司曝光了一个重大的零日漏洞,漏洞编号为CVE-2021-30883。根据苹果发布的一份安全报告,该漏洞允许应用程序以内核权限执行任意代码。受影响的产品包括iPhone6及更新机型、iPadPro(所有型号)、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodTouch(第7代)。值得一提的是,在修复之前,该漏洞已经被攻击者利用,安全人员已经搭建了PoC测试。可以预见,随着越来越多的攻击者针对苹果,其智能产品将不断暴露出更多的安全漏洞,这是不可避免的结果。但更重要的是,苹果能否拥有快速的响应时间和足够的技术实力来快速修复这些漏洞,是苹果安全的关键。毕竟,绝对的安全是不存在的,安全和不安全是不断变化的。我也希望苹果能够继续加强安全属性,正如其官网所宣传的那样,“生产市场上最安全的移动设备”。
