苹果被曝重大系统漏洞:新款MacBook、iPhone 12、iPad Pro统统波及!root权限秒获取,隐私文件随意看...
鱼羊 郑集杨 发自 凹非寺
量子位 报道 | 公众号 QbitAI
这两天,苹果M1爆锤老同志英特尔的测评,刷了屏。
左手一个低功耗,右手一个长续航,性能炸裂到让网友不禁替I姓玩家感叹:
姓A的没有一个好东西。
不过,你永远不知道年轻人背后有没有下一个「不讲武德」的年轻人。(狗头)
这不,有人刚把搭载M1处理器的MacBook Air拿到手,就来了一手漏洞攻破。
那速度,真是好家伙。
搭载M1的新款MacBook Air被发现漏洞
你看这台MacBook Air,搭载苹果自研的基于ARM的M1芯片,并且已经升级到了最新系统。
查看系统安全设置,可以看到macOS的系统保护正常开启。
输入指令查看一下当前的用户权限,显示的是普通用户权限。
接下来,看好了,千万别眨眼。
对,你没看错,也就1秒不到的功夫,这次提权攻击已经成功,攻击者取得了系统最高权限root身份!
不需要密码,只是一个脚本就搞定了。
这也就意味着,攻击者可以任意读写设别中存储的通讯录、照片、文件等用户隐私了。
这样一记「突刺」,来自腾讯安全玄武实验室的最新安全尝试。
其负责人TK教主于旸,事后发了一条微博:
不得不说M1处理器性能确实很强,我们的测试程序瞬间就执行完了。
看到这一幕,评论区的网友们也纷纷震惊:
「啪的一下就执行完了,很快啊。」
「他说他是测试的,他可不是瞎测试的,终端,脚本,提权,训练有素,后来他说他搞过好几年安全。啊,看来是有备而来…」
「M1:大意了,没有闪,很快哦很快!」
你以为这就结束了?
不,更为凡尔赛的是,苹果iPhone 12系列手机同样被这个「测试程序」干翻了。
接着往下看。
攻破iPhone 12 Pro
同样的画风,同样的最新设备和最新系统,「受害者」iPhone 12 Pro登场了。
从系统设置中可以看到,用来发起攻击的测试App访问相册和通讯录的权限均已被关闭。
话不多说,直接打开测试App来看结果。
就是啪的一下,明明系统说了不,该App仍然读取到了相册和通讯录,并上传到了攻击者的服务器端。
漏洞意味着什么?
毫无疑问,这是第一个被发现的能影响苹果Apple Silicon芯片设备的安全漏洞。
最主要的是,这个漏洞可以轻易调取利用原本不属于App的权限。
通常,苹果的macOS、iOS终端设备对于App的权限,都是进行了严格的限制的,安全和隐私也是最令果粉称道之处。
因此,受限的App不管是「左正蹬」还是「右鞭腿」,安全系统都是可以通通防出去的。
但这次,通过这个漏洞,攻击者完全可以绕过这些限制措施,实现越权访问,读取用户设备上相册、通讯录,甚至是账号密码等隐私数据。
腾讯安全玄武实验室就表示:
理论上,任何恶意的App开发者都可以利用此漏洞。
而且漏洞影响的设备,也不少。
腾讯安全玄武实验室是这么说的:
M1 MacBook 2020(macOS Big Sur 11.0.1)、iPhone 12 Pro(iOS 14.2)、iPad Pro(iOS 14.2)都存在这个漏洞。
该漏洞也同样影响以前发布的设备,包括基于Intel芯片的MacBook,以及其它可以从App Store安装App的苹果设备。
芜湖,牵涉竟然如此之广,看来这波苹果确实是「大意了」,没有闪。
不过,果粉朋友们倒不要过分担心,「传统功夫,点到为止」。
一方面,腾讯安全玄武实验室是全球顶尖的安全实验室,能发现漏洞也是实力使然;
另一方面,按照江湖规矩,在消息曝光前,玄武实验室早已将漏洞技术细节报告给了苹果安全团队。
所以,恐慌完全没有必要,但也需要战术上重视,及时更新安全补丁和更新系统。
关于腾讯安全玄武实验室
最后,还是赘述补充下此次发现漏洞的安全大神团队。
关注安全领域的盆友,对腾讯安全玄武实验室一定不会陌生。
作为腾讯七大专业实验室之一,于2014年成立。
该实验室有一个光芒四溢的领头人:于旸,Tombkeeper,黑客圈名号「TK教主」,因为学医出身,所以还被尊称为「妇科圣手」。
△图源:腾讯
TK教主和腾讯安全玄武实验室,技术和武德都很高超,常常能找到别人难以发现的安全漏洞,也始终出现在各大厂商的致谢信中。
这次苹果的漏洞发现,不过只是其光鲜战绩的冰山一角罢了。
此前,玄武实验室还发现过针对条码阅读器的安全研究成果“BadBarcode”,是世界上首次实现通过发射激光入侵系统;
在微软网络协议上,发现影响从Win95到Win10的 “BadTunnel” 超级漏洞,获得了微软专门致谢及5万美元奖励。
玄武实验室,也是腾讯安全乃至业界信息安全力量的核心中坚之一。
这次找到苹果新芯M1的安全漏洞,虽是基本操作,但速度之快,确实牛X.
不说了,我要更新新款MacBook电脑去了(狗头)。
最后,附上完整视频:
— 完 —
苹果被曝重大系统漏洞:新款MacBook、iPhone 12、iPad Pro统统波及!root权限秒获取,隐私文件随意看...相关推荐
- 苹果被曝重大系统漏洞:新款MacBook、iPhone 12统统波及,root权限秒被获取
搭载M1的新款MacBook Air被发现漏洞 毫无疑问,这是第一个被发现的能影响苹果Apple Silicon芯片设备的安全漏洞. 最主要的是,这个漏洞可以轻易调取利用原本不属于App的权限. 通常 ...
- 堪比“脏牛”!“脏管道” 漏洞可获得Linux 所有主流发行版本的root权限
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- Android系统权限和root权限的获取以及应用权限列表
Android权限说明 Android系统是运行在Linux内核上的,Android与Linux分别有自己的一套严格的安全及权限机制. 一.linux文件系统上的权限 -rwxr-x--x syste ...
- ubuntu系统root权限登录下载系统内文件
ubuntu系统root权限登录下载系统内文件 1.找到系统sshd_config 配置文件:/etc/ssh/ sshd_config ,使用vi sshd_config命令进行编辑 2.重新 ...
- 苹果公司推出的ios 6测试版的iPhone和iPad
苹果公司推出的ios 6测试版的iPhone和iPad 在演示文稿中的全球开发者大会(WWDC)在旧金山举行的新移动操作系统的iOS 6了中心舞台.正如预期,IOS软件的苹果高级副总裁斯科特·福斯代尔 ...
- 苹果WWDC2021终极剧透!新款Macbook Pro外观大改 iOS 15将发布
苹果开发者大会WWDC2021将于6月8日凌晨一点召开.对于"科技发烧友"来说,它的重要性可以说仅次于每年秋季的"科技界春晚"苹果发布会.今年的WWDC将采取与 ...
- macbookair有没有touchbar_苹果电脑购买建议:2018新款MacBook Pro买不买带Touch Bar的?...
你现在的位置: 首页 > PC > Mac 今年7月,苹果正式发布了2018新款MacBook Pro.跟往常一样,新款共提供了两个版本,分别是普通版和顶配版,其中顶配版同样配备了Touc ...
- 苹果笔记本电脑 javaee安装_苹果下周举行发布会 重磅推出新款MacBook Air和MacBook Pro...
牛华网讯北京时间11月4日消息,目前,苹果已经发出新的发布会邀请函,确认将于11月10日在Apple Park举行新闻发布会,这也是苹果秋季的第三次新闻发布会.这次会议会带来什么呢?据可靠的消息来源称 ...
- android平板更新系统,终于跟上安卓!iPad Pro新功能曝光:系统升级方便了
iOS和iPadOS被视为iPhone和iPad的最大优势,然而苹果系统总会有一些奇奇怪怪的设定,就比如系统升级方面,iPhone 12系列之前,所有的iPhone都只能使用Wi-Fi更新系统.直到i ...
最新文章
- Apache认证、授权和访问控制
- java 缓存ech_ehcache获取缓存空指针
- C# WinForm程序退出的方法
- python django 表单_Django ModelForm与Form
- c#中queue的用法
- 二阶切比雪夫多项式实现(scala版、python版)
- solidworks 2016 crack
- 万能计算机在线应用,万能计算器在线使用技巧,快点学习吧
- cad打印本计算机未配置,CAD点打印为什么会警告提示无法使用此绘图仪配置
- PHP_微信小程序(2)
- KVM管理虚拟机:常用命令
- matlab标定不是棋盘格,matlab 标定提取棋盘格角点调整参数
- 众筹,让别人为你买单
- 每日学口语(持续更新)
- 运动员和教练案例分析
- 自动化运维-Ansible(redhat 8)
- 百度贴吧怎么进不去_怎么从百度贴吧引流宝妈粉,我用百度霸屏做内容吸粉!...
- 洛谷 P3131 [USACO16JAN]子共七Subsequences Summing to Sevens
- 表情包系列(二)盘点30个让程序员崩溃的瞬间,给大家解解闷!
- cmd命令之windows端口查询
热门文章
- [problem]快速排序和归并排序
- 发测试邮件或垃圾邮件node脚本
- ios日历视图实现日期输入
- 苹果无线耳机使用方法_安卓党可以使用 AirPods 吗?实测结果.....
- 红包规则_“科普闯关100%夺红包”游戏规则升级了!速速来看!
- 如何在html页面循环回显数据,从while循环显示数据到html代码
- 实现统计一个字符串中的每个单词出现的次数--基于Go语言
- 无人驾驶常用数据集---图像语义分割数据集--Cityscapes数据集的解读(for 小白)
- pytorch Bert 情感分类
- python格式化% 和 format