苹果被曝重大系统漏洞:新款MacBook、iPhone 12、iPad Pro统统波及!

苹果被曝重大系统漏洞:新款MacBook、iPhone 12、iPad Pro统统波及!root权限秒获取,隐私文件随意看

关注前沿科技 量子位 前天

鱼羊 郑集杨 发自 凹非寺 
量子位 报道 | 公众号 QbitAI

这两天,苹果M1爆锤老同志英特尔的测评,刷了屏。

左手一个低功耗,右手一个长续航,性能炸裂到让网友不禁替I姓玩家感叹:

姓A的没有一个好东西。

不过,你永远不知道年轻人背后有没有下一个「不讲武德」的年轻人。(狗头)

这不,有人刚把搭载M1处理器的MacBook Air拿到手,就来了一手漏洞攻破。

那速度,真是好家伙。

搭载M1的新款MacBook Air被发现漏洞

你看这台MacBook Air,搭载苹果自研的基于ARM的M1芯片,并且已经升级到了最新系统。

编辑

查看系统安全设置,可以看到macOS的系统保护正常开启。

编辑

输入指令查看一下当前的用户权限,显示的是普通用户权限。

编辑

接下来,看好了,千万别眨眼。

编辑

对,你没看错,也就1秒不到的功夫,这次提权攻击已经成功,攻击者取得了系统最高权限root身份!

不需要密码,只是一个脚本就搞定了。

这也就意味着,攻击者可以任意读写设别中存储的通讯录、照片、文件等用户隐私了。

编辑

这样一记「突刺」,来自腾讯安全玄武实验室的最新安全尝试。

其负责人TK教主于旸,事后发了一条微博:

不得不说M1处理器性能确实很强,我们的测试程序瞬间就执行完了。

编辑

看到这一幕,评论区的网友们也纷纷震惊:

「啪的一下就执行完了,很快啊。」

「他说他是测试的,他可不是瞎测试的,终端,脚本,提权,训练有素,后来他说他搞过好几年安全。啊,看来是有备而来…」

「M1:大意了,没有闪,很快哦很快!」

你以为这就结束了?

不,更为凡尔赛的是,苹果iPhone 12系列手机同样被这个「测试程序」干翻了。

接着往下看。

攻破iPhone 12 Pro

同样的画风,同样的最新设备和最新系统,「受害者」iPhone 12 Pro登场了。

编辑

从系统设置中可以看到,用来发起攻击的测试App访问相册和通讯录的权限均已被关闭。

编辑

话不多说,直接打开测试App来看结果。

编辑
编辑

就是啪的一下,明明系统说了不,该App仍然读取到了相册和通讯录,并上传到了攻击者的服务器端。

漏洞意味着什么?

毫无疑问,这是第一个被发现的能影响苹果Apple Silicon芯片设备的安全漏洞。

最主要的是,这个漏洞可以轻易调取利用原本不属于App的权限。

通常,苹果的macOS、iOS终端设备对于App的权限,都是进行了严格的限制的,安全和隐私也是最令果粉称道之处。

因此,受限的App不管是「左正蹬」还是「右鞭腿」,安全系统都是可以通通防出去的。

但这次,通过这个漏洞,攻击者完全可以绕过这些限制措施,实现越权访问,读取用户设备上相册、通讯录,甚至是账号密码等隐私数据。

腾讯安全玄武实验室就表示:

理论上,任何恶意的App开发者都可以利用此漏洞。

编辑

而且漏洞影响的设备,也不少。

腾讯安全玄武实验室是这么说的:

M1 MacBook 2020(macOS Big Sur 11.0.1)、iPhone 12 Pro(iOS 14.2)、iPad Pro(iOS 14.2)都存在这个漏洞。

该漏洞也同样影响以前发布的设备,包括基于Intel芯片的MacBook,以及其它可以从App Store安装App的苹果设备。

芜湖,牵涉竟然如此之广,看来这波苹果确实是「大意了」,没有闪。

不过,果粉朋友们倒不要过分担心,「传统功夫,点到为止」。

一方面,腾讯安全玄武实验室是全球顶尖的安全实验室,能发现漏洞也是实力使然;

另一方面,按照江湖规矩,在消息曝光前,玄武实验室早已将漏洞技术细节报告给了苹果安全团队。

所以,恐慌完全没有必要,但也需要战术上重视,及时更新安全补丁和更新系统。

关于腾讯安全玄武实验室

最后,还是赘述补充下此次发现漏洞的安全大神团队。

关注安全领域的盆友,对腾讯安全玄武实验室一定不会陌生。

作为腾讯七大专业实验室之一,于2014年成立。

编辑

该实验室有一个光芒四溢的领头人:于旸,Tombkeeper,黑客圈名号「TK教主」,因为学医出身,所以还被尊称为「妇科圣手」。

编辑
△图源:腾讯

TK教主和腾讯安全玄武实验室,技术和武德都很高超,常常能找到别人难以发现的安全漏洞,也始终出现在各大厂商的致谢信中。

这次苹果的漏洞发现,不过只是其光鲜战绩的冰山一角罢了。

此前,玄武实验室还发现过针对条码阅读器的安全研究成果“BadBarcode”,是世界上首次实现通过发射激光入侵系统;

在微软网络协议上,发现影响从Win95到Win10的 “BadTunnel” 超级漏洞,获得了微软专门致谢及5万美元奖励。

玄武实验室,也是腾讯安全乃至业界信息安全力量的核心中坚之一。

这次找到苹果新芯M1的安全漏洞,虽是基本操作,但速度之快,确实牛X.

重大发现!苹果M1芯片被曝存在安全漏洞(附视频)

21ic电子网 昨天

出品 21ic中国电子网 蔡璐整理

网站:21ic.com

近日,苹果公司推出了首款自研基于ARM架构的Mac M1芯片,首批搭载设备包括MacBook Air、MacBook Pro 13英寸,以及Mac mini。据悉,该芯片采用的是5nm制程工艺,配备了八核心CPU、八核心GPU,以及十六核心的神经网络引擎,集成晶体管数量达到160亿个,其性能、功耗等方面的表现均被认为是能担起苹果“后Intel时代”的大旗。

从网络热度来看,这款芯片一经发布就被刷屏了!虽然这只是苹果第一款自研桌面级ARM处理器,但无论是CPU性能,还是GPU性能,都足以让AMD、英特尔、英伟达三家担忧。

不信的话,就看看下面这段测评吧!

根据国外网友曝光的苹果M1处理器Cinebench R23基准测试的跑分成绩来看,单核性能高达1498分,超越了英特尔11代酷睿移动处理器酷睿i7-1165G7的1382分,但低于高功耗版本的酷睿i7-1165G7的1532分。

编辑

而在Geekbench 5基准测试中,苹果M1处理器的单核成绩更是高达1745分,超越了AMD最新发布的台式机旗舰处理器锐龙9 5950X。

编辑

值得一提的是,苹果自研M1芯片应该是目前世界上第一个,同时也是唯一一个使用了台积电5nm制程工艺的笔记本处理器芯片,其中包含了160亿支晶体管。

根据台积电公布的数据显示,跟前一代的7nm工艺相比,使用5nm工艺制造的晶体管,其密度提升80%,速度提升15%,功耗降低30%。有了新的制造工艺,可以在芯片面积保持不变的情况下,往一颗芯片里塞进去更多的晶体管,而且这些晶体管的功耗更低、性能更高。

不得不说,苹果M1处理器的性能相当给力。随着性能跑分、相关测试越来越多,这款芯片近期被“吹爆”了。看到上述测评,想必AMD、英特尔、英伟达的压力都很大吧!

编辑

(苹果M1芯片的内部结构)

不过,苹果自研M1芯片并非无敌。

11月18日,腾讯安全玄武实验室发布了一条微博,声称其第一时间拿到了MacBook Air M1来测试它的安全性,并利用新发现的苹果安全漏洞成功攻破了MacBook和iPhone 12 Pro。这可能是第一个公开的能影响Apple M1芯片设备的安全漏洞。

编辑

(新浪微博截图)

据腾讯安全玄武实验室介绍,此漏洞的攻击原理属于URL欺骗漏洞,或称地址栏欺骗,可以让黑客篡改用户当前地址栏中的URL。该漏洞不仅影响基于AppleM1芯片的MacBookAir、MacBookPro、Macmini,同时也会影响到今年新推出的iPhone12、iPhone12Pro系列。

更为严重的是,任何恶意的APP开发者都可以利用此漏洞!一旦该漏洞被恶意利用,APP开发者便可以绕过系统的权限设置,越权读取用户设备上的通讯录、照片、账号密码等隐私信息,并发送给攻击者。

据21ic家了解,腾讯安全玄武实验室已将此漏洞报告给了苹果安全团队。不过截至目前,苹果方面还未对此事作出回应,但相信苹果将会采取措施修正安全漏洞。

(0)

相关推荐

  • 今晚苹果召开第三次发布会,将发布划时代新品!

    此前,苹果宣布了第三场新品发布会,将在北京时间2020年11月11日凌晨2点,也就是今夜凌晨2点举行 关于这次发布会的主角,大概率是首次使用苹果自家 A 系列处理器的MacBook笔记本电脑 有消息显 ...

  • 苹果M1X芯片的详情介绍

    苹果M1X芯片怎么样?爆料者带来了苹果新款 "M1X"芯片的一些信息,MacBook Pro 16 将搭载这款芯片.那么这一款未来的芯片怎么样呢?下面就让小编给大家介绍一下. 苹果 ...

  • 苹果M2芯片预计会出现在2022年的MacBook Air中

    关于M1的迭代产品将被称为M1X或M2的传言四起.近日,一位爆料者表示,苹果正在研发两款芯片,M2预计将出现在2022年MacBook Air中. 爆料者@dylandkt此前曾表示,苹果的MacBo ...

  • 来了,苹果新品又要来了

    ‍ ‍你的Mac变卡了吗? 上个月iPhone变卡是因为iPhone 13来了,10月轮到Mac发布会了. 通常情况下苹果会在10月举行Mac发布会,去年受疫情影响Mac发布会推迟到了11月. 彭博社 ...

  • 搭载ARM处理器的MacBook或明年发布,苹果会带来A14X处理器吗?

    如果没有意外的话,今年夏秋两季相继登场的麒麟1000以及苹果的A14处理器都将会使用台积电最新的5nm工艺制程.那么,在新制程工艺加持之下,MacWorld就曾经基于现有事实对A14处理器进行了一波性 ...

  • 苹果下周二再出“王炸”!乔布斯带着 MacBook Pro 现身发布会?

    不得不说,最近的流量都被苹果「拿捏了」. 距离 iPhone 13系列发售不到一个月,新品就迫不及待「来炸场」了. 苹果今年秋季第二场发布会已正式确定,定在北京时间 10 月 19 日凌晨 1 点. ...

  • 苹果新品来了,明天见

    果粉俱乐部 让科技更好的服务生活 点击上方「蓝字」加入我们 苹果将于北京时间 11 月 11 日凌晨两点举行今年秋季的第三场发布会,也是今年的最后一场发布会. 和其它几场公开活动一样,本次发布会仍将采 ...

  • 苹果新品硬件配置曝光,A14X 加持

    果粉俱乐部 让科技更好的服务生活 点击上方「蓝字」加入我们 今年下半年除了备受大家关注的 iPhone 12 之外,还有多款苹果新品值得期待,比如自研芯片的 MacBook 以及新一代 iPad. 今 ...

  • 苹果重磅新品 11 月发布

    果粉俱乐部 让科技更好的服务生活 点击上方「蓝字」加入我们 在苹果正式官宣了今年第二场秋季新品发布会的消息之后,近几日大家都在讨论苹果即将带来的新产品,包括 iPhone 12 系列,更低价的 Hom ...

  • APP偷录?看看最近苹果被曝出多少bug!

    吃瓜群众爱吃瓜. 最近各种瓜,让吃瓜群众们眼花缭乱. 明星出轨,博士论文造假.世界首富离婚...人设崩的不要不要的! 不过,会崩人设的可不只有人. 苹果被曝出来的这些bug也快把苹果的"人设 ...

  • 比 iPhone 13 更猛的苹果新品,明年见

    除了 iPhone / iPad / Apple Watch 等产品之外,Mac 系列也是苹果非常重要的产品线. 去年底,苹果推出了 Mac 自研 M1 芯片,并取得了巨大成功. 今年初,苹果又推出了 ...

  • 苹果没有发布的那些新产品

    果粉俱乐部 让科技更好的服务生活 点击上方「蓝字」加入我们 苹果在 4 月 21 日举行的春季发布会上带来了一系列新产品,其中紫色 iPhone 12 / iPhone 12 mini 以及 AirT ...

  • 苹果自研新品来了,年底发布

    果粉俱乐部 让科技更好的服务生活 点击上方「蓝字」加入我们 在上个月的 WWDC 上,除了 iOS 14 等软件系统之外,苹果还发布了一个非常重要的自研芯片计划. 未来所有的 Mac 都将搭载苹果自研 ...

  • iPhone 12被1秒破解,艳照门又要来了?

    不知道小伙伴是否还记得6年前,刷爆互联网.轰动全球的[苹果艳照门事件]. 当时有个外国黑客发现了iCloud云盘的漏洞,借此入侵明星的iPhone,窃取藏在里面的私密照. 自己私底下看看也就算了,关键 ...

  • 今日大事:苹果宣布11月11日再开发布会,网友:这次有啥?

    这里就是今天的新闻了: 1 网络热词「早安打工人」已被注册商标 十月末,"打工人"一词火遍全网,打工人成为现在很多上班族的自称. 据企查查 App 显示,"早安打工人&q ...