10月16日,在第四届“天府杯”国际网络安全大赛上,来自奇安盘古旗下盘古实验室的白帽黑客slipper完成了iPhone13 Pro全球首次公开远程越狱,取得手机最高控制权限,获得最高单项奖金30万美元。
图源昆仑实验室CTO推特@mj0011sec
据老板联播报道,当点击攻击者精心伪造的链接后,即可触发Safari浏览器远程代码执行漏洞,使攻击者可远程执行攻击命令。在绕过Safari浏览器的防护机制后,黑客利用 iOS 15 内核及 A15 芯片的多个漏洞进行组合攻击,成功绕过了iOS系统的多项安全防护机制,取得iPhone 13 Pro的最高控制权。
取得设备的最高控制权,意味着可以随意获取设备当中的所有信息,包括相册、App等,甚至可以直接删除设备上的数据或者执行其他任意命令。
这一通过点击链接触发的破解方式非常简单,上述的整个破解过程耗时仅需1秒钟,对向来号称“安全性能极高”的iOS系统来说是一个不小的冲击。
“中国顶尖黑客大赛”天府杯黑客大赛是中国与世界其他地方的Pwn2Own式比赛相对应的活动,为绕过消费者设备和软件保护的研究人员提供高额奖金。获得这一大奖的盘古实验室以越狱苹果硬件而闻名。
对此网友表示:欺负人了啊,我解锁苹果手机都不止一秒。更多的网友担心苹果设备的安全。就在近日,苹果宣称 iOS 系统的安全性比安卓好得多。
前瞻经济学人APP资讯组
