iPhone和Mac也会被黑 一条iMessage密码可能就被盗了

一直以来，苹果系统的安全性备受赞誉，相较于安卓系统，其安全性更高。即便是最安全的系统也难以避免漏洞的存在。最近，苹果设备上出现了一个新的高危漏洞，编号为CVE-2016-4631，该漏洞针对的是苹果的iOS操作系统。

这个漏洞的利用方式相当简单，攻击者只需向受害者的苹果设备发送一条MMS多媒体消息或iMessage，就能获取到用户的身份凭证信息。身份凭证信息包括但不限于WiFi密码、登录凭证以及电子登录信息等。这一漏洞的影响范围非常广泛，涵盖了苹果的绝大部分操作系统，包括macOS、watchOS、tvOS以及iOS。iPhone、iPod touch、Apple Watch以及Apple TV的用户都需要特别留意。

该漏洞是由思科Talos高级研究员Tyler Bohan所发现并报告的。Bohan并没有公布此漏洞的详细信息，目前我们所知的内容比较有限。经过研究，发现该漏洞存在于ImageIO中，而ImageIO是上述操作系统的一个API。攻击者可以通过构造一个包含恶意代码的TIFF图片文件，以MMS或iMessage的形式发送给苹果用户。当苹果用户收到消息后，系统会自动对图片进行处理，攻击者就可以利用这个漏洞从设备内存中获取存储的身份凭证信息。这个过程无需用户进行任何交互操作，因此被称为“高危漏洞”。Bohan甚至称之为“非常危险的BUG”。

除了通过发送消息的方式，攻击者还可以构建包含恶意代码的网页。苹果用户通过Safari浏览器访问该网页时，也可能导致身份凭证信息泄露。这个过程同样不需要用户在网页上进行任何操作。

针对这一漏洞，苹果用户需要尽快将系统升级到版。不同的苹果操作系统需要区别对待。iOS系统的安全机制本身做得不错，攻击者如果要进一步获取iPhone的控制权，还需要对iOS系统进行越狱。而且，苹果已经在前两天发布的iOS 9.3.3系统中修复了该漏洞。macOS的情况则不同，攻击者利用该漏洞可以实现Mac设备的远程访问，一封邮件就可能让你的Mac陷入危险。苹果已经发布了安全公告，的OS X EI Capitan 10.11.6已经修复了这一漏洞。其他各款苹果操作系统也有类似情况，包括Safari浏览器。

这次苹果的这一漏洞让人联想到Android系统上的Stagefright漏洞，两者都是通过一条消息就能被攻击者利用。Bohan认为，这次在苹果设备上发现的漏洞甚至比Stagefright漏洞更加危险。他预计黑客很快就会找到利用这一漏洞的方法，因此建议各位苹果用户尽快将系统升级到版。安全无小事，保护自己的个人信息和财产安全至关重要。