2023 年 12 月 5 日,安全研究人员发现了一种绕过苹果“锁定模式”的漏洞。该漏洞允许攻击者在 iPhone 处于锁定模式时安装恶意软件。
“锁定模式”是苹果在 2022 年秋季推出的一项新安全功能。该模式旨在为用户提供额外的保护,防止高级网络攻击。在锁定模式下,iPhone 会限制对许多功能的访问,包括:
- 安装应用程序
- 访问 Safari 浏览器中的 JavaScript
- 配置 iCloud 设置
- 连接到外部设备
该漏洞由安全研究员 Ian Beer 发现。Beer 发现,攻击者可以通过使用一个称为 “USB 重定向器” 的设备绕过锁定模式的限制。USB 重定向器可以将 iPhone 连接到计算机,并允许计算机控制 iPhone 的 USB 端口。
攻击者可以使用 USB 重定向器将恶意软件安装到 iPhone 上。一旦恶意软件安装完成,攻击者就可以在 iPhone 处于锁定模式时控制该设备。
苹果已确认该漏洞。该公司表示正在修复该漏洞。
漏洞详细说明
该漏洞存在于苹果 iOS 16 和 iPadOS 16 中。该漏洞利用了苹果 USB 端口的安全限制。在锁定模式下,iPhone 会限制对 USB 端口的访问。但是,如果 iPhone 连接到 USB 重定向器,攻击者可以绕过这些限制。
USB 重定向器是一种设备,它可以将一个 USB 设备连接到另一个 USB 设备。攻击者可以使用 USB 重定向器将 iPhone 连接到计算机,并允许计算机控制 iPhone 的 USB 端口。
攻击者可以使用 USB 重定向器将恶意软件安装到 iPhone 上。恶意软件可以通过 USB 端口安装到 iPhone 上,而无需用户干预。
漏洞影响
该漏洞影响所有运行 iOS 16 或 iPadOS 16 的 iPhone 和 iPad。该漏洞允许攻击者在 iPhone 处于锁定模式时安装恶意软件。这可能导致用户数据丢失或被盗。
建议
苹果已确认该漏洞,并正在修复该漏洞。苹果预计将在未来几周内发布安全更新修复该漏洞。
在苹果发布安全更新之前,用户可以采取以下措施来降低风险:
- 不要将 iPhone 连接到不信任的 USB 设备。
- 使用 USB 防护设备来保护 iPhone 免受 USB 攻击。
- 定期更新 iPhone 的软件。