加密货币钱包开发商 Trust Wallet 昨夜发布安全预警称收到新的安全情报,有黑客在暗网上以 200 万美元的价格出售 iMessage 服务的零点击漏洞,该漏洞可以在用户完全不知觉的情况下完全控制整个手机。
这种漏洞和攻击方式与以色列商业间谍软件开发商 NSO 集团的飞马座类似,潜在的安全影响极高,包括币圈等用户可能都是潜在的攻击目标。
尽管 Trust Wallet 声称收到了可信情报,不过这件事最大的问题就是目前关于该漏洞仅仅只有个截图,也就是黑客在暗网中挂出的售卖截图,没有安全业界提供的更多消息。
在 Tor 网络中任何人都可以建立任何网站,因此花费几分钟制作一个类似的网站拿来恶作剧或者钓鱼疑惑这是诈骗都是可以的,所以不清楚自称 CodeBreach Lab 的黑客售卖的这个漏洞信息是否为真。
对了,这个 CodeBreach Lab 还售卖 Android、Windows 以及 WhatsApp 的安全漏洞,如果是真的话他们应该是信息中介而非原始漏洞开发者。
从此前 NSO 集团飞马座商业间谍软件的案例来看,安全业界是在 NSO 发起攻击之后,才发现攻击并进行针对性研究找到漏洞,因此即便 iMessage 真的出现某些高危漏洞,在漏洞没有被利用前想要发现也是很难的。
这个漏洞目标的标价为 200 万美元,如果是真实有效的 iOS 零点击漏洞,这个价格并不算高,应该很容易卖出并开始制作针对性的恶意软件。
Trust Wallet 的建议是一些注重安全性的用户可以考虑禁用 iMessage 服务,即日常不要使用 iMessage 信息,这样可以提高安全性,