,今天Apple发布了紧急更新,修复了一个重大安全漏洞。有证据表明,自今年2月以来,该漏洞已被黑客利用,无需用户干预即可在设备上安装Pegasus间谍软件。周一,Apple推出了iOS、watchOS和macOS的紧急更新。该安全补丁的发布是为了应对一个巨大的漏洞,该漏洞允许操作系统在没有用户交互的情况下感染间谍软件。多伦多大学公民实验室的安全研究人员上周二向Apple披露了这个名为“ForcedEntry”的漏洞。该团队在分析沙特激进分子的iPhone时发现了安全漏洞(CVE-2021-30860)。这种“零点击攻击”利用了iMessages中调用Apple图像渲染库的弱点,允许它在没有任何用户干预的情况下感染设备。研究人员发现,该漏洞存在于苹果的所有三个操作系统——iOS、watchOS和macOS中。使用的间谍软件是由以色列NSO集团开发的备受争议的PegASUS应用程序。CitizenLab表示,它相信该漏洞自2月以来一直在使用,但不知道有多少设备可能已被间谍软件感染。CitizenLab的高级研究员JohnScott-Railton告诉《纽约时报》,该间谍软件可以做iPhone用户可以在其设备上做的所有事情,甚至更多。“商业间谍软件行业正在走向黑暗,”联合研究员BillMalzak补充道。NSOGroup坚称,它只向政府执法机构出售间谍软件,这符合当地法律法规。然而,该软件已在非犯罪分子的设备上被发现,包括外交官、活动家和记者。此外,上周德国国家警察局因秘密购买和使用Pegasus监视恐怖分子和有组织犯罪分子而受到严厉批评。
