加密貨幣錢包開發商TrustWallet昨夜發佈安全預警稱收到新的安全情報,有黑客在暗網上以200萬美元的價格出售iMessage服務的零點擊漏洞,該漏洞可以在用戶完全不知覺的情況下完全控制整個手機。
這種漏洞和攻擊方式與以色列商業間諜軟件開發商 NSO 集團的飛馬座類似,潛在的安全影響極高,包括幣圈等用戶可能都是潛在的攻擊目標。
盡管 Trust Wallet 聲稱收到可信情報,不過這件事最大的問題就是目前關於該漏洞僅僅隻有個截圖,也就是黑客在暗網中掛出的售賣截圖,沒有安全業界提供的更多消息。
在 Tor 網絡中任何人都可以建立任何網站,因此花費幾分鐘制作一個類似的網站拿來惡作劇或者釣魚疑惑這是詐騙都是可以的,所以不清楚自稱 CodeBreach Lab 的黑客售賣的這個漏洞信息是否為真。
對,這個 CodeBreach Lab 還售賣 Android、Windows 以及 WhatsApp 的安全漏洞,如果是真的話他們應該是信息中介而非原始漏洞開發者。
從此前 NSO 集團飛馬座商業間諜軟件的案例來看,安全業界是在 NSO 發起攻擊之後,才發現攻擊並進行針對性研究找到漏洞,因此即便 iMessage 真的出現某些高危漏洞,在漏洞沒有被利用前想要發現也是很難的。
這個漏洞目標的標價為 200 萬美元,如果是真實有效的 iOS 零點擊漏洞,這個價格並不算高,應該很容易賣出並開始制作針對性的惡意軟件。
Trust Wallet 的建議是一些註重安全性的用戶可以考慮禁用 iMessage 服務,即日常不要使用 iMessage 信息,這樣可以提高安全性,