<孟婆的汤,鬼市的酒,世界那么大我想出去看看,鬼市一家有情怀的源码交易市场>

腾讯安全玄武实验室发现苹果M1高危漏洞

  • 时间:2021-07-26 06:34 编辑:网络来源 来源:网络来源 阅读:91
摘要:    苹果换芯了,安全漏洞也来了。    就在刚刚,腾讯安全玄武实验室对外公布了他们近期发现的一个苹果的安全漏洞。    据悉,这个漏洞不仅影响最新的基于M1芯片的MacBookAir、MacBookPro,也会影响今年新推出的iPhone12、iPhone12Pro系列产品。    同时这也是第一个公开的能影响苹果AppleSilicon芯片设备的安全漏

    苹果换芯了,安全漏洞也来了。

    就在刚刚,腾讯安全玄武实验室对外公布了他们近期发现的一个苹果的安全漏洞。

    据悉,这个漏洞不仅影响最新的基于M1芯片的MacBookAir、MacBookPro,也会影响今年新推出的iPhone12、iPhone12Pro系列产品。

    同时这也是第一个公开的能影响苹果AppleSilicon芯片设备的安全漏洞。

    这个漏洞是如何被发现的?

    从腾讯提供的视频中可以看到,在MacBook(设备型号:M1MacBookAir2020,macOSBigSur11.0.1)上,攻击者在打开所有系统保护的情况下,在一秒之内获取到了系统的最高权限(root身份),从而可以任意读写设备中存储的通讯录、照片、文件等用户隐私。

    需要注意的是,任何恶意的App开发者都可以利用此漏洞。不过,目前这个漏洞应该没有被真正利用。同时,玄武实验室还发现,苹果iPhone12系列手机也存在同样的安全问题。

    在iPhone12Pro的系统设置里关掉漏洞演示App读取相册、通讯录的权限之后,该App仍然能读取到相册和通讯录并发送给攻击者。更见鬼的是,这一攻击行为,用户几乎是感受不到的。也就是说,一旦这一漏洞被恶意利用,App开发者可以绕过系统的权限设置,越权读取用户设备上的通讯录、照片、账号密码等隐私信息,并发送给攻击者。

    为了避免漏洞被恶意利用,腾讯安全玄武实验室已将此漏洞的技术细节报告给苹果安全团队。而现在,对于普通用户来说能做的只有等待苹果发布新的安全补丁了。这已经不是腾讯玄武实验室第一次为苹果找到安全漏洞了。

    早在2017年,在苹果推出iOS11不久,腾讯玄武实验室在iOS11和Safari11之前的版本中分别发现了一个编号为CVE-2017-7085的漏洞和另一个Webkit的高危漏洞。此漏洞的攻击原理属于URL欺骗漏洞,或称地址栏欺骗,可以让黑客篡改用户当前地址栏中的URL。

    比如当用户访问A网站,假如被黑客修改了后,虽然你打开后发现很像A网站,但其实这个页面可能是仿制的,当你输入用户名和密码,你的账户就被盗取了,其实就是俗称的钓鱼网站。

    苹果在事后特意感谢了腾讯玄武实验室。


【版权与免责声明】如发现内容存在版权问题,烦请联系平台客服及时删除,我们将及时沟通与处理。 本站内容除了鬼市 ( http://www.guisss.com/ )标注原创外,其它均为网友转载内容,涉及言论、版权与本站无关。