重磅!苹果被曝首个影响AppleSilicon芯片设备的安全漏洞iPhone12系列都中招

苹果换芯了,安全漏洞也来了。

就在刚刚,腾讯安全玄武实验室对外公布了他们近期发现的一个苹果的安全漏洞。

工作人员维护放映设备,确保最佳状态迎接观众。张亨伟 摄

    早前迪士尼预计在2024年,Disney+能有9000万订户,现在这个发展速度相当喜人。

玄武实验室第一次为苹果找到安全漏洞了。

腾讯玄武实验室又为苹果立了功

雷锋网原创文章,。详情见转载须知。

需要注意的是,任何恶意的 App 开发者都可以利用此漏洞。

在 iPhone 12 Pro 的系统设置里关掉漏洞演示 App 读取相册、通讯录的权限之后,该 App 仍然能读取到相册和通讯录并发送给攻击者。

此漏洞的攻击原理属于 URL 欺骗漏洞,或称地址栏欺骗,可以让黑客篡改用户当前地址栏中的 URL。比如当用户访问 A 网站,假如被黑客修改了后,虽然你打开后发现很像 A 网站,但其实这个页面可能是仿制的,当你输入用户名和密码,你的账户就被盗取了,其实就是俗称的钓鱼网站。

而现在,对于普通用户来说能做的只有等待苹果发布新的安全补丁了。

看来这一次库克又要感谢一次腾讯玄武实验室了。

专业人员对放映厅进行最后消毒。张亨伟 摄

7月19日,上海部分电影院为明天恢复开放营业进行最后阶段准备。当日,上海红星电影世界员工正在放映厅内用胶带将不能入席的座位进行粘贴,确保观影者入席时“隔排隔坐”。据悉,为确保观影安全,以及30%的上座率,放映厅内观众需保证前后一排,以及左右一个空位的间隔。同时,影院还将做好人员登记、测量体温和查验随申码等工作。

为了避免漏洞被恶意利用,腾讯安全玄武实验室已将此漏洞的技术细节报告给苹果安全团队。

《曼达洛人》是Disney+的大卖点

专业人员对放映厅进行最后消毒。张亨伟 摄

也就是说,一旦这一漏洞被恶意利用,App 开发者可以绕过系统的权限设置,越权读取用户设备上的通讯录、照片、账号密码等隐私信息,并发送给攻击者。

工作人员对3D眼镜进行消毒。张亨伟 摄

这个漏洞是如何被发现的?

更见鬼的是,这一攻击行为,用户几乎是感受不到的。

同时这也是第一个公开的能影响苹果 Apple Silicon 芯片设备的安全漏洞。

迪士尼第三季收入147亿美元,比华尔街预计的141亿美元要高,但依旧亏损5.8亿美元。其中主题公园和周边商品销售同比下跌61%,第三季只拿到26亿美元收入。他们的CEO批评加州州长的太过严格防疫政策,加州迪士尼乐园今年12月31日之前都不会开门。

同时,玄武实验室还发现,苹果 iPhone 12 系列手机也存在同样的安全问题。

在Q4财报会议上鲍勃·查伯克表示:“我对《花木兰》作为Premier Access影片所取得的成果感到高兴。”这是迪士尼首次在Disney+推出高端付费点播服务(PVOD),以29.99美元的价格向订阅用户提供。影片在Disney+未上线的市场公映,取得6680万美元的票房收入,大部分来自中国内地(4200万美元)。 不过好莱坞业界认为,《花木兰》这次实验并不成功,因为他们对于高端点播收益和观看人数一直保持沉默。而且9月初就宣布,《花木兰》在12月4日免费面向订阅用户,如果赚大钱的话不会这么早宣布。更重要的是,皮克斯的《心灵奇旅》12月25日直接上Disney+是免费面向订阅用户,而没有继续《花木兰》模式。 对于《心灵奇旅》没有继续保持PVOD模式的策略,鲍勃·查伯克解释:“就《心灵奇旅》而言,我们也意识到Disney+的命脉在于为基础用户提供内容。”

从腾讯提供的视频中可以看到,在 MacBook(设备型号:M1 MacBook Air 2020,macOS Big Sur 11.0.1)上,攻击者在打开所有系统保护的情况下,在一秒之内获取到了系统的最高权限(root身份),从而可以任意读写设备中存储的通讯录、照片、文件等用户隐私。

苹果在事后特意感谢了腾讯玄武实验室。

迪士尼赶在去年11月上线的Disney+,回头来看是非常正确的选择,上线4个月就遭遇新冠疫情的冲击,意外得到发展机遇。外媒分析,Disney+6.99美元/月的订阅费是美国多个流媒体中比较低的,加上《汉密尔顿》《花木兰》等大片上线,增加了用户订阅的积极性。

雷锋网雷锋网(公众号:雷锋网)雷锋网

不过,目前这个漏洞应该没有被真正利用。

目前Disney+在全球30个国家提供服务拥有7370万用户,Netflix1.95亿订户,环球Peacock2200万用户(包含免费用户),华纳旗下HBO Max只有860万用户,因为订阅费高达14.99美元,即使算上HBO有线电视,全球也才3800万用户。