十萬火急, Apple 呼籲 macOS 用戶盡快安裝 Big Sur 11.4 ,皆因有證據顯示其中一個 macOS安全 漏洞正被廣泛使用,惡意軟件可透過「強奪」能力,借用其他 app 取得的應用權限進行屏幕截圖,甚至可以完整讀取硬碟內儲存的資料,所以用戶一定要盡快更新系統!
目錄
macOS安全優勢不再
以往 macOS 系統較少受網絡攻擊影響,不過隨著愈來愈多用戶群,黑客自然不會放過 Mac 機,令 macOS安全 指數大減。 Altas VPN 發表的調查報告便顯示, 2020年共發現 674,273 款新的 macOS 惡意軟件樣本。特別是剛於上年推出、搭載 Apple M1 自家處理器的電腦,更先後被網絡安全公司 TrendMicro 及 Kaspersky 發現已成為黑客專注攻擊的對象;另外亦有研究員發現一款名為 Silver Sparrow 的 M1 向惡意軟件,更已感染了 29,139 部 M1 版 macOS 裝置。
XCSSET 惡意軟件強奪私隱權限
今次被網絡安全公司 Jamf 舉報的漏洞,主要發生於 Apple 用於保護私隱的 Transparency Consent and Control(TCC)的安全框架。當有應用軟件需要取用電腦內的 webcam 及收音咪功能, TCC 便會彈出取用通知,用戶便不用擔心會被暗中盜錄私隱。不過, Jamf 研究員在分析惡意軟件 XCSSET 的程式碼時,便證實它可以利用 macOS 的漏洞,從其他已取得某些私隱權限功能的應用軟件上,「強奪」其權限,因此可繞過 TCC 安全框架在暗中執行。而研究員發現,現時 XCSSET 可在受感染電腦上截取屏幕畫面,但強調由於 XCSSET 可強奪權限,因此可執行的動作非常多,例如開啟 webcam 及收音咪,甚至完整讀取硬碟內儲存的資料。
5月內兩推 macOS 更新
事實上, macOS Big Sur 才剛於 5 月初推出 11.3.1 版本,以堵塞 WebKit HTML 編譯工具存在的零日漏洞(zero day vulnerabilities),可見黑客正拼命攻擊 macOS 。雖然頻頻推出系統更新會對用戶帶來不便,但相比起電腦被黑客入侵所帶來的潛在損失,用戶還是應該盡快下載及安裝 macOS Big Sur 11.4 版本。
