刚刚,腾讯安全玄武实验室对外公布了他们近期发现的一个苹果的安全漏洞。据悉,这个漏洞不仅影响最新的基于 M1 芯片的 MacBook Air、MacBook Pro,也会影响今年新推出的 iPhone12、iPhone12 Pro 系列产品。
同时这也是第一个公开的能影响苹果 Apple Silicon 芯片设备的安全漏洞。
从腾讯提供的视频中可以看到,在 MacBook(设备型号:M1 MacBook Air2020,macOS Big Sur 11.0.1)上,攻击者在打开所有系统保护的情况下,在一秒之内获取到了系统的最高权限(root身份),从而可以任意读写设备中存储的通讯录、照片、文件等用户隐私。
需要注意的是,任何恶意的 App 开发者都可以利用此漏洞。不过,目前这个漏洞应该没有被真正利用。同时,玄武实验室还发现,苹果 iPhone 12 系列手机也存在同样的安全问题。
在 iPhone12 Pro 的系统设置里关掉漏洞演示 App 读取相册、通讯录的权限之后,该 App 仍然能读取到相册和通讯录并发送给攻击者。
一旦这一漏洞被恶意利用,App 开发者可以绕过系统的权限设置,越权读取用户设备上的通讯录、照片、账号密码等隐私信息,并发送给攻击者。为了避免漏洞被恶意利用,腾讯安全玄武实验室已将此漏洞的技术细节报告给苹果安全团队。
