在智能手机诞生后的很长一段时间里,苹果的iPhone都是手机行业内的标杆。
精致的外观做工、流畅的系统体验、基于封闭生态打造的那独一份的安全性……
尤其是这「安全性」,一直是很多果粉朋友想转投安卓系统一个不低的门槛。
有一说一,「iPhone=安全」,已经成了很多人想到iPhone时的第一印象了。
图源:苹果官网
但是,小雷又要说但是了嚯。
iPhone曾经撼动不了的「绝对安全」神话,却在这几年时不时就被动摇了一波嗷。
原因无它,「零日漏洞」的存在,导致一些黑客和不法分子利用此漏洞进行攻击。
安全性极高的iOS,毕竟开发团队也是人,难免会有疏漏的细节,问题不就来了。
最近小雷就发现嚯,居然有公司对iOS的零日漏洞,开出几百万美元的采购价格!
围绕「零日漏洞」甚至已经发展成一条灰色产业链,今天小雷就给大伙深扒一波。
零日漏洞是什么?
「零日漏洞」这词儿听起来科幻感十足,实际上理解起来也没什么难度。
所谓的零日漏洞别名为零时差漏洞,一般它是指还没有补丁的安全漏洞。
「零日」意为漏洞被公开后,补丁未上线的天数,毕竟刚公开很难及时打补丁。
So,如果公开N天后还是没上线补丁的话,那就可以叫做「N」日漏洞了。
衍生出来针对零日漏洞的攻击,则被称为「零日攻击」或者「零时差攻击」。
黑客们尤其关注零日漏洞,甚至还以发现零日漏洞这事标榜自己的技术水平。
从发现到零日漏洞到实现攻击,一般会经历下面五个步骤,小雷简单捋一捋。
首先是寻找零日漏洞,找到疑似的需要经过确定,接着创建基于零日漏洞的攻击代码,再绕过网络管理者的防御,最后通过攻击代码植入恶意软件进行零日攻击。
图源:华为
通常情况下,零日漏洞的风险级别都比较高,这就容易造成规模庞大的破坏性。
就拿还新鲜热乎着的,利用零日漏洞攻击iPhone的「三角测量行动」来说。
图源:网络
话说这名字还是卡巴斯基团队给取的,因为被入侵的iPhone就是卡巴斯基成员……
黑客挑衅到这个份上,自然做好了万全的准备,这次居然用上了4个零日漏洞!
这4个零日漏洞分别是:
CVE-2023-41990、CVE-2023-32434、CVE-2023-32435以及CVE-2023-38606。
攻击的原理解释起来过于复杂,小伙伴们只要记得,这波攻击阵容堪称「豪华」。
三角测量行动攻击链示意图 图源:卡巴斯基
利用这4个零点漏洞,黑客可以得到逆天权限,进行远程代码的执行不在话下。
卡巴斯基表示,至少在4年时间里,黑客能直接利用iMessage文本传染间谍软件。
离谱的是,受害者无需任何操作就会被感染,进而其手机遭到黑客方的后台监控。
呐,基于这个零日漏洞群,三角测量行动可以攻击iOS 16.2之前的所有iOS版本。
除了iPhone,甚至连iPad、Mac、iPod、Apple TV和Apple Watch也会受到影响。
So,「三角测量行动」也被业内称为iPhone史上最复杂的间谍软件攻击。
图源:苹果官网
好在苹果在后续的系统更新里,逐步修复了全平台系统中存在的三角测量漏洞。
图源:IT之家
零日漏洞灰产揭秘
从辩证的角度来看,零日漏洞的存在也并不全是坏事,它一般存在着两个市场。
白色市场,企业或厂商会通过悬赏奖金方式,征集零日漏洞线索以推出对应补丁。
灰色市场,购买者会利用零日漏洞攻击,用于敛财、盗取隐私密码等等犯罪活动。
So,如今零日漏洞已经不是单纯的技术Bug,反而催生出一条完整的产业链。
比如Crowdfense公司,就曾经在2019年斥资1000万美元启动了漏洞购买计划。
本以为这出价已经够高,没想到最近Crowdfense又整活,推出Exploit Acquisition Program。
该计划价格提升到3000万美元,用于购买手机、APP等主流知名产品的零日漏洞。
图源:Crowdfense
瞄了眼价目表,iOS的零点击全链漏洞为500-700万美元,安卓则为500万美元。
剩下的漏洞价格,小伙伴们可以瞅瞅下图,小雷就不一一列举了。
Crowdfense表示,之所以会出高价购买,是因为他们是一家主打网络安全公司。
这些收购回来的零日漏洞,主要将用于和有关政府的情报、安全以及维护等方面。
图源:Crowdfense
但是,小雷又要说但是了嚯。
Crowdfense开出的高价还没到顶,在一些灰色市场里,零日漏洞的价格会更高。
原因很简单,利字当头,一些特殊的零日漏洞甚至能被用于创造出更丰厚的利润。
这么一条利益链捋下来,黑客们不知疲倦挖掘零日漏洞的操作,也就不难理解了。
最后
想要应对零日漏洞?小雷这次支不了招,显然不是咱们普通人能够应付得了的。
零日漏洞主要还是得靠企业和有关部门的反制,才能够有实际有效的维护效果。
好在目前曝出的零日漏洞,大部分情况下很快就会被官方及时打补丁堵上漏洞。
就像最强「三角测量行动」间谍软件监控漏洞,最终也被苹果升级系统后解决。
So,各位使用iPhone的小伙伴还是不用过于担心,手机正常使用就完事儿了。
封面图源:苹果
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。