现在更新您的iPhone以修复一个重大的“Pegasus”漏洞
更新iPhone修复“Pegasus”漏洞
苹果公司为iPhone和iPad发布了一个关键的iOS 16安全更新,以修补一个特别恶意的漏洞,该漏洞可能允许黑客在您不采取任何行动的情况下控制您的设备。这种“零点击、零日”漏洞允许攻击者安装NSO Group的Pegasus间谍软件,这可能让他们阅读目标的短信、监听电话、窃取和传输图像、跟踪其位置等。
这个被称为“Blastpass”的漏洞首先由Citizen Lab发现,并立即向苹果披露。据报道,它被用于在华盛顿特区一家组织的员工的iPhone上安装Pegasus。该组织写道,它能够破坏运行最新的16.6版本iOS的设备,而无需受害者的任何互动。
苹果已发布iOS 16.6.1以应对这个漏洞,简单地表示“恶意制作的附件可能导致任意代码执行”。此外,Citizen Lab甚至建议“所有处于风险中的用户考虑启用锁定模式,因为我们认为它可以阻止攻击”。据信,这次攻击涉及PassKit(一个允许开发人员在其应用中加入Apple Pay的SDK),因此得名为Blastpass,以及通过iMessage发送的恶意图像。出于明显的原因,Citizen Lab没有发布任何其他细节。
锁定模式是一个最近的iOS功能,旨在严重限制苹果设备的功能,并针对“面临严重、有针对性数字安全威胁的非常少数用户”,苹果公司表示。该公司最近面临了许多威胁,包括2023年2月的一个“可能被积极利用的”漏洞,当时苹果如此说。
这个漏洞也使Pegasus再次成为新闻焦点,此前拜登政府曾禁止其使用。这款由以色列的网络武器公司NSO Group开发的软件在被多个国家用于监视记者、活动人士和其他人后引起了轩然大波。在一个臭名昭著的案例中,据报道,沙特阿拉伯曾使用它来监视后来在土耳其被谋杀的记者贾迈勒·卡舒吉。
