近日,央视财经援引美联社报道称,美国苹果公司发布的两份安全报告披露,旗下智能手机iPhone、平板电脑iPad、电脑iMac等产品存在严重的安全漏洞。这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。
(资料图片)
消息传出后,#苹果曝出严重安全漏洞#立刻冲上热搜榜,不少用户担心自己的手机等电子设备安全。
尽快更新苹果系列产品的操作软件
那么,苹果的安全漏洞到底是什么?
上海辟谣平台梳理发现,此次苹果系列产品涉及的安全漏洞相当于设备为黑客留了一个“后门”:在苹果HTML渲染引擎(WebKit)中存在一个名为CVE-2022-32893的远程代码执行漏洞(RCE,黑客通过该漏洞可以欺骗iPhone、iPad和Mac运行未经授权和不受信任的代码。简单来说,就是黑客能入侵用户的电子产品,操作应用程序甚至安装使用新的应用程序。
根据报告,受影响的手机包括iPhone 6S及以后的型号;平板电脑包括第五代及以后的iPad、所有iPad Pro,以及iPad Air 2;电脑则是运行MacOS Monterey的Mac;漏洞还影响部分型号的iPod。
一个略微让人安心的消息是,苹果公司已经发布了系统更新以堵上漏洞。从苹果中国发布的官方系统更新看,包括iOS 15.6.1、iPadOS 15.6.1、macOS Monterey 12.5.1、watchOS 8.7.1、Safari浏览器15.6.1等,涉及手机、平板、电脑等各种设备。从更新提示看,以上软件均与安全性有关。苹果公司也提醒所有用户尽快安装。
安卓、Windows用户也不可大意
本次安全漏洞虽然与苹果产品相关,但使用安卓、Windows系统产品的用户也不可大意。因为没有哪个系统是无懈可击的。根据以往的安全监控,安卓系统、Windows系统、以及基于不同系统开发的各种应用程序,也都可能存在安全漏洞。
所以,国内外信息安全公司和团队都会不定期地披露他们的发现,提醒用户也提醒相关企业,及时补上漏洞。
比如,国外团队Altas VPN此前研究过Google Play商店中3335个免费和付费移动应用程序(APP)的安全性,发现超过60%的安卓应用程序包含安全漏洞,每个应用程序的平均漏洞数量高达39个。该团队指出,游戏、教育、银行、生产力应用程序都是漏洞重灾区。好在经过开发人员审查,大多数漏洞可以修复。
再比如,复旦大学计算机科学技术学院科研副院长、教授、博士生导师杨珉及其团队的论文在近期举行的USENIX Security上被评为“杰出论文奖”。USENIX Security是信息安全领域的4大顶级会议之一,而杨珉教授团队的论文聚焦各种应用软件的安全漏洞。他们研究了47个常见的应用软件,包括抖音、微信、支付宝、今日头条等,发现均存在安全漏洞,部分应用软件内嵌功能(“子APP”)可能暗中操纵用户账户、在手机上安装恶意软件等。研究团队已向以上应用软件开发者报告相关结果,帮助他们修复漏洞。
下载应用软件牢记几大要点
既然各种操作系统都可能有漏洞,那么用户如何保护自己?
最基本的做法是及时按照官方提醒,更新升级操作系统、应用软件。这些升级往往包含了安全方面的更新,能及时修复已经发现的漏洞。
同时,在下载应用程序(APP)时,不点击不明来历的链接、不下载非官方渠道的应用软件。目前,大部分品牌都有自己的官方应用程序市场,可以通过以上市场下载。
尤其要提防部分“李鬼”应用程序绕过审核,进入正规的应用市场。这类“李鬼”应用程序使用的图标、介绍往往与“李逵”很接近,但本身可能存在广告或病毒。通常,正牌“李逵”会有“官方”或“人工复检”字样,有助于用户辨别。
在下载不熟悉的应用软件前,建议先查看下载页面的“评论”项,看看其他用户的评价,特别是负面评价。如果发现有用户表示该应用程序存在吸费、吸流量等问题,应谨慎选择。
此外,不要贪小便宜下载所谓的“破解版”应用。有些应用软件需要付费使用,或其中的部分内容需付费使用,而应用市场会出现一些“破解版”,称能无偿使用相关软件或资源。通常,这类软件都不是由官方开发者提供,而是涉嫌侵权或植入非法代码的再加工版本。用户下载使用这类软件极可能“引狼入室”,主动将含有恶意代码的程序下载到自己的电子设备中,风险极大。