Trust Wallet 今日警告,他們在暗網上發現一個新的 iMessage 零時差漏洞,該漏洞能在不需用戶互動的情況下入侵 iPhone。這種漏洞對於高淨值個人尤其危險,該公司建議所有 iOS 用戶暫時停用 iMessage,直至 Apple 推出相應的安全更新。
(前情提要:麻吉大哥讚自家迷因幣「審計沒漏洞」,喊話社群:我們是先跌後漲 )
(背景補充:點名境外交易所「洗錢最大漏洞」 立委郭國文批金管會:應邀請來台落地 )
蘋果(Apple)用戶需要注意!加密錢包提供商 Trust Wallet 今日凌晨發推表示,其在暗網上發現一個新的針對 iOS 使用者的高風險零時差漏洞(zero-day exploit),該漏洞可透過 iMessage 在不需用戶點擊任何連結的情況下入侵 iPhone。建議用戶盡快停用 iMessage 服務,直至 Apple 發布安全修正程式。
註:零時差漏洞或稱零日漏洞指的是在軟、硬體開發商還没有發現,或已發現但還沒有修補的系統上或程式上的安全漏洞。
1/2: ⚠️ Alert for iOS users: We have credible intel regarding a high-risk zero-day exploit targeting iMessage on the Dark Web.
This can infiltrate your iPhone without clicking any link. High-value targets are likely. Each use raises detection risk. #CyberSecurity
— Trust Wallet (@TrustWallet) April 15, 2024
建議立即採取行動預防攻擊
Trust Wallet 強調,這不是 Trust Wallet 的問題,而是所有在開啟 iMessage 的 iPhone 上儲存的加密錢包都面臨風險,為了防止被這種新出現的漏洞攻擊,建議用戶立即停用 iMessage。具體步驟如下:
- 打開設定(Settings)
- 點擊訊息(Messages)
- 關閉 iMessage 開關
該公司執行長 Eowyn Chen 分享了一張截圖,指出該漏洞的要價高達 200 萬美元。考慮到這樣的價格,這種漏洞顯然是針對「非常高淨值的個人」目標,因為這種零日漏洞越是被使用,被研究人員在真實環境中發現的可能性就越大(一旦被發現,相關的安全漏洞就可能被修復,從而降低漏洞的價值和效用)。
目前,Apple 尚未對這一漏洞發布公開聲明或安全修正程式。
專家質疑
然而,這個漏洞威脅遭到了一些行業專家的懷疑。匿名區塊鏈研究員 Beau 在回應 Eowyn 的螢幕截圖時說道:
如果這就是你所說的「可信的情報」,那真是太尷尬了。你手上並沒有 iOS 漏洞的實際證據,你只有一個聲稱發現漏洞的人的截圖。這兩者之間有很大的差異。
Beau 強調 Trust Wallet 發出的警報可能造成不必要的恐慌和損害。
對此,Trust Wallet 發長推回應表示,其情報來自其不斷檢查安全威脅的「安全合作夥伴和研究人員」,並在經確認後,決定公開分享,以兌現其對社群安全的承諾。
這實際上已不是首次利用 iMessage 的案例,據 Kaspersky 安全研究人員稱,蘋果的 iMessage 應用程式在先前的事件中也曾被用作駭客的攻擊媒介。
