Categories
創造力

360發現5個MacOS藍牙漏洞 可實現零點擊無接觸遠程利用


DoNews 3月26日消息(記者 趙晉傑)蘋果的閉環生態又一次迎來了安全危機。

360全球獨家發現“Bluewave”漏洞

這一次遭殃的是蘋果的MacOS系統。360 Alpha Lab團隊全球首家發現了5個MacOS藍牙漏洞組合,並經官方確認,該漏洞組合全部屬於“零點擊無接觸”遠程利用漏洞。 鑑於其不容忽視的摧毀能力,360 Alpha Lab團隊將其命名為Bluewave”漏洞。

image.png

(蘋果官方致謝360安全團隊)

近日,蘋果公司連續發布兩份重要安全通告,公開致謝360 Alpha Lab團隊的貢獻。同時,蘋果官方已根據360安全團隊所提交的漏洞報告發布補丁,並獎勵漏洞獎金75000美元。

“零點擊”的致命威脅

據360 Alpha Lab團隊介紹,Bluewave”漏洞的披露,就像蘋果系統爆出的5枚重磅炸彈。Bluewave”所天然具備的“零點擊”更是成為致命威脅。

因為攻擊者能夠藉此漏洞以無感知、無交互的形態,完成遠程攻擊利用,從而導致受害目標陷入非法控制。這與一般的漏洞相比,“Bluewave”的殺傷力和潛在破壞力可見一斑。

360 Alpha Lab進一步指出,暴露在外的“Bluewave”漏洞甚至具備無限劫持的可能性。因為“Bluewave”漏洞存在於蘋果MacOS藍牙進程中,而各種藍牙設備之間又是互相連接,這意味著攻擊者一旦攻破某台設備,就可以以其為中心,連鎖式攻擊與之配對的MacOS設備,整個攻擊過程如像波浪一樣,無限擴散蔓延。而這正是360 Alpha Lab將其形像地命名為“Bluewave”的原因。

在某程度來說,“Bluewave”漏洞的面積效應是最大的。這種攻擊形式不亞於空軍作戰中的“電磁脈衝”,一旦被黑客利用,可以長時間靜默潛伏,然後利用其硬殺傷力和極強傳染性,大規模徹底瓦解目標系統。

“Bluewave”漏洞影響範圍廣

此次蘋果筆記本曝出的“Bluewave”漏洞影響範圍甚廣,覆蓋macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2版本在內的所有蘋果筆記本。另據360 Alpha Lab補充,CVE-2019-8853漏洞​​除了上述版本,還將影響macOS Catalina 10.15.3。

360安全大腦早在2019年12月確認此漏洞利用的第一時間,就向蘋果官方提交了完整的漏洞報告,並正協助蘋果公司推進修復。目前,蘋果官網已經發布了更新補丁。 360安全專家建議,廣大蘋果Mac用戶應盡快升級修復,以免遭受漏洞攻擊。 (完)