蘋果警告稱,部分 iPhone 和 iPad 可能已經成為「極其複雜攻擊」的目標,並發布修補程式,希望能防止這種攻擊。
該修補程式修復 USB 限制模式中的漏洞,這是蘋果 2018 年推出的一項功能,如果 iPhone 和 iPad 上的 Lightning 或 USB 連接埠被鎖定超過一小時,就會關閉這些連接埠。蘋果之所以這樣做,是為了防止透過連接線纜進行攻擊,當用戶認證並解鎖裝置,連接埠就會恢復運作。
但從現在看,這種攻擊仍有可能發生。蘋果週一建議,「實體攻擊可能停用 USB 鎖定裝置上的限制模式。目前蘋果獲悉一份報告稱,該漏洞可能被利用來針對特定目標個人的極度複雜攻擊」。
目前蘋果已在 iOS 18.3.1、iPadOS 18.3.1 和 iPadOS 17.7.5 中修復這個漏洞,這些更新適用於 iPhone XS 以及 iPad pro、iPad Air、iPad Mini 等機型。
蘋果的行動裝置以前也遭到實體攻擊,有時攻擊者會使用以色列數位情資解決方案供應商 Cellebrite 的商業工具,後者宣稱其產品有助於執法機關加速調查。近十年來,Cellebrite 協助打開鎖住的裝置,使其作為證據,舉例來說,去年美國總統川普遭遇暗殺未遂,Cellebrite 在 40 分鐘內成功破解槍手的 Android 手機。
今日的修補程式所修復的漏洞,是由多倫多大學公民實驗室的資深研究員 Bill Marczak 發現,他建議用戶更新 iPhone 至 iOS 18.3.1。
Update your iPhones.. again! iOS 18.3.1 out today with a fix for an ITW USB restricted mode bypass (via Accessibility) https://t.co/jcrsab7RGu pic.twitter.com/ER42QQcsLj
— Bill Marczak (@billmarczak) February 10, 2025
(首圖來源:蘋果)