蘋果換芯了，安全漏洞也來了。

就在剛剛，騰訊安全玄武實驗室對外公布了他們近期發現的一個蘋果的安全漏洞。

據悉，這個漏洞不僅影響最新的基于 M1 芯片的 MacBook Air、MacBook Pro，也會影響今年新推出的 iPhone 12、iPhone 12 Pro 系列產品。

同時這也是第一個公開的能影響蘋果 Apple Silicon 芯片設備的安全漏洞。

這個漏洞是如何被發現的？

從騰訊提供的視頻中可以看到，在 MacBook（設備型號：M1 MacBook Air 2020，macOS Big Sur 11.0.1）上，攻擊者在打開所有系統保護的情況下，在一秒之內獲取到了系統的最高權限（root身份），從而可以任意讀寫設備中存儲的通訊錄、照片、文件等用戶隱私。

需要注意的是，任何惡意的 App 開發者都可以利用此漏洞。

不過，目前這個漏洞應該沒有被真正利用。

同時，玄武實驗室還發現，蘋果 iPhone 12 系列手機也存在同樣的安全問題。

在 iPhone 12 Pro 的系統設置里關掉漏洞演示 App 讀取相冊、通訊錄的權限之后，該 App 仍然能讀取到相冊和通訊錄并發送給攻擊者。

更見鬼的是，這一攻擊行為，用戶幾乎是感受不到的。

也就是說，一旦這一漏洞被惡意利用，App 開發者可以繞過系統的權限設置，越權讀取用戶設備上的通訊錄、照片、賬號密碼等隱私信息，并發送給攻擊者。

為了避免漏洞被惡意利用，騰訊安全玄武實驗室已將此漏洞的技術細節報告給蘋果安全團隊。

而現在，對于普通用戶來說能做的只有等待蘋果發布新的安全補丁了。

騰訊玄武實驗室又為蘋果立了功

這已經不是騰訊玄武實驗室第一次為蘋果找到安全漏洞了。

早在 2017 年，在蘋果推出 iOS 11 不久，騰訊玄武實驗室在 iOS11 和 Safari 11 之前的版本中分別發現了一個編號為 CVE－2017－7085 的漏洞和另一個 Webkit 的高危漏洞。

此漏洞的攻擊原理屬于 URL 欺騙漏洞，或稱地址欄欺騙，可以讓黑客篡改用戶當前地址欄中的 URL。

比如當用戶訪問 A 網站，假如被黑客修改了后，雖然你打開后發現很像 A 網站，但其實這個頁面可能是仿制的，當你輸入用戶名和密碼，你的賬戶就被盜取了，其實就是俗稱的釣魚網站。

蘋果在事后特意感謝了騰訊玄武實驗室。

看來這一次庫克又要感謝一次騰訊玄武實驗室了。
責任編輯:pj