360安全大脑全球独家发现MacOS蓝牙漏洞,可实现零点击无接触远程利用

1评论 2020-03-26 15:47:55 来源:金融界网站 华资实业20%大肉分享

  近日,苹果公司连续发布两份重要安全通告,公开致谢360 Alpha Lab团队全球首家发现5个MacOS蓝牙漏洞。这是苹果MacOS系统中极其罕见的漏洞组合,并经官方确认,该漏洞组合全部属于“零点击无接触”远程利用漏洞。

  鉴于其不容忽视的摧毁能力,该漏洞组合的发现者与报告者——360 Alpha Lab团队将其命名为“Bluewave”漏洞。同时,苹果官方已根据360安全团队所提交的漏洞报告发布补丁,并奖励漏洞奖金75,000美元

sd

sd

  (苹果官方致谢360安全团队)

  全球首家发现苹果MacOS蓝牙漏洞

  摧毁力堪比“电磁脉冲”

  “Bluewave”漏洞的披露,就像苹果系统爆出的5枚重磅炸弹。而对于该漏洞的第一发现者360 Alpha Lab而言,在完整定义“Bluewave”的威胁全貌前,他们首先注意到的是“Bluewave”所天然具备的“零点击”这一致命属性。

  众所周知,尽管同为高危漏洞,仍然有许多漏洞的触发很大程度需要依赖用户预授权或交互操作,其实际威胁大大消解。然而“Bluewave”漏洞的罕见之处就在于,攻击者能够以无感知、无交互的形态,完成远程攻击利用,从而导致受害目标陷入非法控制。这与一般的漏洞相比,“Bluewave”的杀伤力和潜在破坏力可见一斑。

  在证实“零点击”这一高危特质之后,360 Alpha Lab立即进一步意识到一个更为令人不安的事实:“Bluewave”漏洞具备无限劫持的可能性。要知道,“Bluewave”漏洞存在于苹果MacOS蓝牙进程中,而各种蓝牙设备之间又是互相连接,这意味着攻击者一旦攻破某台设备,就可以以其为中心,连锁式攻击与之配对的MacOS设备,整个攻击过程如像波浪一样,无限扩散蔓延。而这正是360 Alpha Lab将其形象地命名为“Bluewave”的原因。

  在某程度来说,“Bluewave”漏洞的面积效应是最大的。这种攻击形式不亚于空军作战中的“电磁脉冲”,一旦被黑客利用,可以长时间静默潜伏,然后利用其硬杀伤力和极强传染性,大规模彻底瓦解目标系统。

sd 

  (“Bluewave”漏洞同时攻破6台苹果笔记本)

  至于攻破系统之后,攻击者可以发起何等程度的破坏,根据360的漏洞报告,蓝牙进程在所有操作系统上都拥有极高的权限,所以这也代表通过“Bluewave”漏洞可获取苹果MacOS系统最高ROOT进程权限,并达到完全控制电脑的程度。这种近乎完美的攻击手段满足了黑客迫切的攻击需求,它可以被应用在敏感信息窃取、隐私数据回传、任意恶意代码执行,甚至不排除直接向内核发起攻击的可能。

  值得一提的是,此次苹果笔记本曝出的“Bluewave”漏洞影响范围甚广,覆盖macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2版本在内的所有苹果笔记本。(另360 Alpha Lab补充道,CVE-2019-8853漏洞除了上述版本,还将影响macOS Catalina 10.15.3)

  防止“Bluewave”漏洞武器化

  360安全大脑已协助苹果官方修复

  对于轻薄便携且USB接口紧缺的苹果笔记本而言,蓝牙键盘、鼠标等蓝牙设备一直大行其道,因此,开启蓝牙功能是数以亿计苹果用户的日常状态,甚至更有数量庞大的用户保持蓝牙时刻开启的习惯。

  此次苹果笔记本曝出的“Bluewave”蓝牙组合漏洞,其威胁能力是“摧毁型”的,尤其是成功利用后带来的连锁性影响,更是无法估量。基于这一不稳定因素,360安全专家建议,广大用户应尽快升级修复,以免遭受漏洞攻击。

  就挖掘主流厂商高危漏洞,并协助产品修复的角度而言,360安全大脑早在2019年12月确认此漏洞利用的第一时间,就向苹果官方提交完整的漏洞报告,并正协助苹果公司推进修复,以防不法分子利用这些漏洞对用户造成巨大的损失。而“漏洞”作为网络时代,关系个人、企业乃至国家安全与利益的存在,常常被称为是一种避不开的网络武器和“新型军火”。面对这一日趋严重的安全威胁,360安全大脑正凭借着其过硬的实力,长期且持续地挖掘隐藏的安全漏洞,围追堵截各种恶意攻击,输出安全守护力量,共建安全的网络环境。

  苹果官方致谢360 Alpha Lab团队:

  https://suPPort.apple.com/zh-cn/HT211100

  https://support.apple.com/en-us/HT210919

  来源为金融界财经频道的作品,均为版权作品,未经书面授权禁止任何媒体转载,否则视为侵权!

关键词阅读:360安全大脑

责任编辑:张振江
快来分享:
评论 已有 0 条评论
精彩推荐
全球累计确诊超过101万例 美国确诊破24万例

2020-04-03 07:20:04来源:金融界网站

油市“大乌龙”!沙特、俄罗斯同时否认 特朗普减产“谎言”被戳穿

2020-04-03 09:18:33来源:金十数据

血“幸”之夜!瑞幸自曝财务造假 盘中6次熔断 后果会有多严重?

2020-04-03 06:36:50来源:e公司官微

第二批原油进口配额或提前下发 舟山原油油库被预订一空

2020-04-02 19:51:39来源:上证报

虚增22亿!瑞幸曝出最大黑天鹅!关键人刘建是谁?一夜蒸发54亿美元

2020-04-03 06:37:35来源:新财富

医疗险迎重大变革:长期险费率可调整 3大雷区当规避

2020-04-02 20:15:23来源:券商中国

多国禁止粮食出口 我们要“广积粮”吗?商务部回应

2020-04-02 21:11:01来源:每日经济新闻

电价八年六降 光伏企业“后补贴”时代辗转腾挪

2020-04-03 02:29:12来源:北京商报网

俄罗斯与沙特“握手言和”?将每日削减1000万—1500万桶?布油盘中暴涨45%

2020-04-03 08:07:05来源:期货日报

美国总统特朗普启用国防生产法 点名七家公司生产呼吸机

2020-04-03 05:36:53来源:金融界网站

银行开演春招大戏!科技人才最走俏 光大银行三部门齐纳贤

2020-04-03 07:28:20来源:券商中国

工程紧、到岗难 数据中心热引发抢人大战

2020-04-03 07:33:17来源:上海证券报

消费券来袭!杭州6天带动10亿元消费 多地“砸”重金刺激消费

2020-04-02 23:18:20来源:中国证券报

首批外资公募真的要来了!美国两大资管巨头进军中国

2020-04-02 07:22:01来源:券商中国

布油飙升45%后,特朗普救市发言遭俄方打脸!市场或空欢喜一场!

2020-04-03 09:11:00来源:国际金融报

中泰宏观:外需走弱或造成800-1500万人就业困难 五大行业最受伤

2020-04-02 11:08:15来源:金融界网站

龙头房企“打法”生变:降杠杆 握现金 偿负债 谋转型

2020-04-03 07:07:00来源:中国证券报·中证网

3月宏观数据有望改善 下半年经济企稳回升可期

2020-04-03 07:39:20来源:上海证券报

成都又抢房了!惊现单价7万乌龙盘 疯狂炒作背后

2020-04-02 07:36:15来源:e公司官微

沙特呼吁产油国召开紧急会议以稳定石油市场

2020-04-03 06:54:01来源:新华网

加载更多

更多>> 以下为您的最近访问股
全网|财经|股票|理财 24小时点击排行