许多安全漏洞利用至少需要您进行某种形式的交互,但是对于今年早些时候的iPhone漏洞而言并非如此。正如Ars Technica 报道的那样,Google Project Zero研究人员Ian Beer详细介绍了iOS 13漏洞利用程序,该漏洞使某人可以使用“零点击”攻击通过WiFi远程控制设备,也就是说,目标无需输入任何内容。
该漏洞利用了驱动程序中用于AirDrop等功能的内部网状网络协议的缓冲区溢出漏洞。由于该驱动程序位于具有广泛特权的操作系统内核中,成功的黑客入侵可能造成了广泛的破坏。入侵者可能安装了“植入物”,以访问敏感信息,例如加密密钥和照片。
发起攻击不是一件容易的事,但也不会很困难。贝尔使用一台笔记本电脑,一台Raspberry Pi 4和一台现成的Netgear WiFi适配器,在流行病大流行期间,他正在家中工作。隐身性是更大的问题。至少在有相当近的躲藏处的情况下,作案者可能会擦洗个人数据,而使您完全不知所措。
但是,请注意使用过去时。Apple修复了iOS 13.3.1中的缺陷,此问题是在iOS 13.5随COVID-19联系人跟踪一起发布之前。还不清楚是否有人利用了野外的缺陷,这对于许多在家工作的人来说可能是困难的。尽管如此,在公寓和其他难以与他人保持WiFi距离的地方,这仍然很容易成为一个严重的问题。
