苹果的ios系统更新一向以稳定、安全、快速著称。今日凌晨,苹果为防止一稀有、强大的间谍软件对系统漏洞攻击而发布了最新的系统更新,版本为iOS 9.3.5。
在升级说明中,有且只有一条:提供了重要的安全性更新,推荐所有用户安装。
美联社报道了这个漏洞和补丁的消息,发现这个漏洞的是阿联酋不同政见者艾哈迈德·曼苏尔, 8月10日与11日,曼苏尔收到了两条声称含有囚犯在阿联酋监狱中遭到折磨的“秘密”,点击文中链接即可查看。曼苏尔觉得此事蹊跷,把线索提供给了公民实验室,公民实验室从链接顺藤摸瓜,挖出了“幕后黑手”NSO Group。
早在苹果发布此次安全性更新的前一天,以曝光大规模监视任务为己任的,多伦多蒙克全球事务学院的公民实验室就发布了关于发现苹果 0Day 漏洞的详细研究报告,并将它们命名为“三叉戟”漏洞。最早出现在中东地区,漏洞的攻击工具外部卖价高达一百万美元,能够入侵iOS操作系统,盗取用户大量隐私信息。这也是一批非常罕见、危险的漏洞。
“三叉戟”是iOS三个0day漏洞的组合。利用“三叉戟”漏洞,黑客只要发送恶意链接诱骗用户点击,黑客就可以入侵iOS设备,获得各种应用软件的重要信息,比如Facebook、WhatsApp、FaceTime、Gmail或是日历工具。,甚至开启麦克风偷偷录音并发送给攻击者,而iPhone用户完全无法察觉。
CVE-2016-4655 CVE-2016-4656 CVE-2016-4657 分别为webkit漏洞,用户点击漏洞触发;内核信息泄露漏洞;内核内存损坏漏洞,相结合达到突破iOS系统权限
这是苹果历史上第一次公开披露的针对iOS的APT 0day攻击。鉴于漏洞危害特别严重,苹果公司在短时间内火线修复了漏洞,更新摘要中赫然注明“建议所有iOS用户更新”,这在苹果版本内的系统更新中是相当少见的。
一家机构的专家分析称,这次爆出的三个漏洞,可能已经存在了至少三年时间。之前也许其他的用户,可能因为这些漏洞而遭到攻击。
苹果已经意识到了iOS所面临的安全风险,本月初,苹果推出了公司历史上第一个有奖捉虫计划,对于重大漏洞,苹果将给外部安全人士奖励20万美元。