僅10天修復3個零日漏洞 蘋果是真的拼了命

2025-03-23 19:01:24

　　《名利場》最近刊文介紹了零日漏洞及其背後的黑市交易(主要賣給政府)、介紹這些漏洞如何被用於進行間諜活動，以及這整個「行業」是如何形成的。其實說到零日漏洞，相信大部分 iOS 設備用戶應該都不陌生，因為就早今年 8 月份曾有智慧型手機安全公司披露，蘋果的 iOS 作業系統存在 3 個安全漏洞，均屬於「零日漏洞」，會被一種複雜的間諜軟體利用對特定蘋果手機用戶發動持續攻擊。

　　蘋果 iOS 作業系統的 3 個關鍵安全漏洞被命名為「三叉戟」，它們屬於「零日漏洞」，即被黑客發現後立即被惡意利用的安全漏洞。「三叉戟」被一個名為「飛馬」的間諜軟體利用，所形成的攻擊鏈可以突破蘋果 iOS 作業系統強大的安全防護。不過後來蘋果公司很快就修復了這幾個漏洞。

　　恰好在《名利場》的這篇長文中也談到了蘋果公司僅用 10 天時間就修復了 iOS 系統 3 個零日漏洞的事情。有興趣的用戶可以了解一下。

　　「2010 年真正屬於零日漏洞的黑市開始出現了。而它發展的轉折點是在法國一家名為 Vugen 的公司開始給發現零日漏洞的人提供獎勵之後，據稱這家公司的獎勵最高為 25 萬美元。Vugen 堅稱他們的目的是保證軟體的安全，即使外界一直質疑，他們的目的是否真的是這麼高尚。後來惠普和微軟等公司也應聲而動，也公布了他們的零日漏洞獎勵機制。雖然這些科技公司的獎勵都沒有 Vugen 等公司的高，但至少能讓白帽黑客不至於昧著自己的良心去賺錢。而且作為一名曾經的黑客，他們最後可能還會獲得價格不菲的顧問合同。」

　　「當初在 iOS 系統中發現漏洞時，研究小組中有的人覺得應該馬上通知蘋果，而也有人覺得再等等，等他們研究了解全部相關的東西之後再通知。但是 iPhone 用戶承擔的風險實在太大了，因此他們最終決定給蘋果電話，而蘋果方面給他們的回應則讓他們有點哭笑不得。研究小組告訴蘋果他們可以遠程越獄，然後對方回答大概就是，『是是是，我們之前也見過這種情況——把你們手頭的東西都發給我們吧。』研究小組照做了，幾個小時之後蘋果回電了，然後非常嚴肅地說：『好的，把你們手頭所有的東西都發過來吧。』」

　　「這通電話之後，蘋果公司竟然在 10 天之內就修復了 3 個零日漏洞，很多與這件事相關的人都覺得這堪稱工程壯舉。蘋果方面發言人拒絕就此發表評論，但是矽谷一名與蘋果合作密切的安全顧問表示，『蘋果以前也沒有見過這樣的漏洞——從未見過。這是一種非常成熟的優異的攻擊，從範圍上來說它時驚人的。可以說蘋果能在這麼短的時間內修復了這些漏洞，他們是付出了巨大的努力。這些漏洞要是不能早日修復，勢必招致重大的麻煩。』」

　　「這些網絡武器分銷商所做的事情就是讓數字監控民主化。曾經只有大型政府部門才會使用這些監控工具，可是如今只要有錢，誰都能用。說不定哪天它們就會出現在你的 iPhone 上。」