转载

苹果操作系统曝新漏洞除最新版本外无一幸免

　　安全研究人员最近发现，苹果操作系统存在巨大的安全漏洞。黑客只需要知道你的手机号码，就可以利用这个安全漏洞窃取用户的密码。

　　这个安全漏洞是思科公司 Talos 安全研究小组的高级研究员泰勒·博昂（Tyler Bohan）发现的。《福布斯》首先报道了这一发现。黑客侵入了苹果操作系统的中心，利用系统处理图像导入和图像输出的方式进行攻击。

　　黑客利用这个漏洞的攻击过程如下：黑客首先创建一个 TIFF 文件格式的恶意软件，——TIFF 是类似于 JPG 和 GIF 的另一种图像格式。然后，黑客利用 iMessage 将这个文件发送到目标对象。这种攻击是特别有效的，因为 iMessage 会用默认格式传送图像。

　　一旦文件被目标对象接收，恶意软件就可以在目标设备上被执行，攻击该设备的存储器并窃取其中存储的密码。受害人甚至没有机会阻止这种攻击。同样的攻击可以通过电子邮件进行，或者欺骗用户使用苹果的 Safari 浏览器去访问一个包含恶意软件的网站。

　　更糟糕的是。这个安全漏洞存在所有版本的 iOS 和 OS X 系统中，只有苹果在 7 月 18 日发布的最新版本除外。博昂在发现这个漏洞之后通知了苹果高层，所以苹果在最新系统中修复了该漏洞。也就是说，iOS 的安全版本是 iOS 9.3.3，OS X 的安全版本是 El Capitan 10.11.6。

　　安全研究公司 Sophos 指出，这个漏洞还有一个解决方法：关闭 iPhone 中的 iMessage 程序，同时禁止 MMS 短信。这意味着你将只能接受文字信息，不接收图像信息。

　　这个漏洞的影响是惊人的。据苹果透露，14％的 iOS 设备运行 iOS 8 或更早版本的系统。据估计，全球有超过 6.9 亿部现役 iOS 设备，这意味着至少 9700 万部 iOS 设备很容易受到黑客攻击。这不包括高于系统高于 iOS 8 但低于 iOS 9.3.3 的设备。苹果曾经透露，全球有超过 10 亿部现役的苹果设备，但没有透露具体数字。

　　苹果系统这个新发现的漏洞使人联想到谷歌 Android 系统的一个类似的漏洞。谷歌系统的这个漏洞叫做 Stagefright，是去年发现的。Stagefright 也是利用发送带有病毒的图像来实施攻击。

正文到此结束