21世纪的"战争'来得悄无声息,却有着横扫万里的危害。几行代码就可能挑起一场"战争"。4月3日,《福布斯》报道,苹果向一名黑客给予了75,000美元的奖励,因为后者发现了该公司软件中的多个零日漏洞,其中一些漏洞可用于劫持MacBook或iPhone上的相机。
什么是零日漏洞呢?“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞,安全补丁和瑕疵曝光的同一日内,就会给犯罪分子有可乘之机,对于软件或是系统进行攻击和破坏,甚至对用户的资料信息进行窃取和修改,这种漏洞往往会带来突发性的巨大损失,并且具有很大的破坏性。通俗的说,及时供应商未发现或是未修补的安全漏洞,会被人转化为武器所用。
早在2016年8月,苹果IOS系统就出现了历史上最大的漏洞——“三叉戟”。手机用户只需要轻轻点击黑客发来的链接就会被远程越狱。黑客瞬间就能获得手机的最高权限,也就是能够彻底对你的手机进行远程操控。苹果手机的越狱往往需要很多复杂的操作,所以这一次的漏洞在破坏力与威力上都是巨大的,也在苹果手机的历史上留名。
零日漏洞的发现与解决也是需要一定时间的,举个例子来说:有人制作了一个软件,但是软件还存在没有被存在漏洞 ,在研发人员发现问题和解决问题之前,被外部人员发现了漏洞,他创建了恶意代码利用该漏洞。在漏洞被人利用后,研发人员得知了该情况并立刻进行了针对该漏洞的补丁,通过发放补丁对于该软件进行修复。但是实际上,这种漏洞以及对于漏洞产生的攻击很少能被及时发现,一般都需要几天甚至几个月的时间进行排查和漏洞修复,这些才是使零度补丁变得危险的真正原因。
当然,想要预防零号漏洞并没有那么容易。作为用户来说,最简单的方法就是不去使用没有打补丁的软件,而是耐心等待后续的补丁版本,不过这也并不意味着补丁版是完美无缺的,只能说在下一个主要版本之前,尚且没有发现系统的新漏洞,只能说是暂时的没被发现。作为开发人员则是需要有尽可能多的版本测试人员,只有足够的人员进行测试使用才能及时并且尽可能多的发现存在的漏洞并在大规模使用之前进行及时的修改。
但实际上也并不用过于担心,因为现在的信息技术水平,不联合几个甚至是几十个的小型零日漏洞,是无法对大多数消费级操作进行操作和破坏的,更不用说对手机进行完全控制,手机等电子的安全也得到有效的保障。自然而然的,零号漏洞也一经发现也会被人天价售卖。
