苹果(Apple)用户需要注意!加密钱包提供商Trust Wallet今日凌晨发推表示,其在暗网上发现一个新的针对iOS使用者的高风险零时差漏洞(zero-dayexploit),该漏洞可通过iMessage在不需用户点击任何链接的情况下入侵iPhone。建议用户尽快停用iMessage服务,直至Apple发布安全修正程序。
注:零时差漏洞或称零日漏洞指的是在软、硬件开发商还没有发现,或已发现但还没有修补的系统上或程序上的安全漏洞。
建议立即采取行动预防攻击
Trust Wallet强调,这不是Trust Wallet的问题,而是所有在开启iMessage的iPhone上储存的加密钱包都面临风险,为了防止被这种新出现的漏洞攻击,建议用户立即停用iMessage。具体步骤如下:
打开设定(Settings)
点击讯息(Messages)
关闭iMessage开关
该公司执行长Eowyn Chen分享了一张截图,指出该漏洞的要价高达200万美元。考虑到这样的价格,这种漏洞显然是针对「非常高净值的个人」目标,因为这种零日漏洞越是被使用,被研究人员在真实环境中发现的可能性就越大(一旦被发现,相关的安全漏洞就可能被修复,从而降低漏洞的价值和效用)。
目前,Apple尚未对这一漏洞发布公开声明或安全修正程序。
Eowyn Chen分享的截图
专家质疑
然而,这个漏洞威胁遭到了一些行业专家的怀疑。匿名区块链研究员Beau在回应Eowyn的截图时说道:如果这就是你所说的「可信的情报」,那真是太尴尬了。你手上并没有iOS漏洞的实际证据,你只有一个声称发现漏洞的人的截图。这两者之间有很大的差异。
Beau强调Trust Wallet发出的警报可能造成不必要的恐慌和损害。
对此,Trust Wallet发长推回应表示,其情报来自其不断检查安全威胁的「安全合作伙伴和研究人员」,并在经确认后,决定公开分享,以兑现其对社群安全的承诺。
这实际上已不是首次利用iMessage的案例,据Kaspersky安全研究人员称,苹果的iMessage应用程序在先前的事件中也曾被用作黑客的攻击媒介。