虛構的威脅
加密錢包製造商發出了一則關於 iMessage 漏洞的警告,聽起來像是一個誇大其詞的威脅,甚至可能是一個騙局。訊息指出 Trust Wallet 的官方 Twitter 帳號聲稱他們“擁有關於在暗網上針對 iMessage 的高風險零日漏洞利用的可靠情報”。該錢包製造商建議 iPhone 使用者完全關閉 iMessage,“直到蘋果修補此問題”,然而並沒有證據表明這樣的漏洞存在。雖然該推文迅速走紅,但事後卻被指出是一種虛假警報,或者說是一種欺詐行為。
警告後續
由於這則推文受到了廣泛的關注,Trust Wallet 在幾個小時後發表了一條跟進帖。該錢包製造商堅持其決定向公眾公開這一情報,並稱其“積極向社區傳遞任何潛在的威脅和風險”。然而 Trust Wallet 的執行長陳怡文表示這一“情報”實際上是一個名為 CodeBreach Lab 的暗網網站上的廣告,有人聲稱以 200 萬比特幣的價格出售所謂的漏洞。
虛假宣傳
根據 Trust Wallet 執行長的說法,這個所謂的“情報”實際上是在一個名為 CodeBreach Lab 的暗網網站上的廣告,有人聲稱以 200 萬比特幣的價格出售所謂的漏洞。這個廣告聲稱這個漏洞是一種無需目標互動的遠端程式碼執行(RCE)漏洞,也就是通常所說的“零點選”漏洞,並且適用於最新版本的 iOS。然而實際上並沒有任何證據證實這樣的漏洞存在。
零日漏洞的實際情況
零日漏洞在實際中確實存在,多年來已被政府駭客部隊所使用。然而實際上您可能不需要關閉 iMessage,除非您是一位高風險的使用者,例如記者或受壓迫政府的異議人士。更好的建議是建議人們開啟“鎖定模式”,這是一種特殊模式,可以禁用蘋果裝置的某些功能,以減少駭客攻擊 iPhone 和 Mac 的途徑。
CodeBreach Lab 的不確保性
值得懷疑的是,CodeBreach Lab 似乎是一個沒有歷史記錄的新網站。我們的檢查顯示,Google 上只有七個搜尋結果之一便是一個來自知名駭客論壇的帖子,詢問是否有人曾聽說過 CodeBreach Lab。該網站的主頁聲稱提供除了 iMessage 以外的幾種漏洞利用,但沒有提供進一步的證據。該網站所有者形容 CodeBreach Lab 為“網路破壞的中心”,但更貼切的形容可能是虛張聲勢和天真無知。
總結與建議
根據以上情況,很有可能這只是一個騙局,而 Trust Wallet 則被其所蒙蔽,傳播了在網路安全行業中所謂的 FUD,即“恐懼、不確保性和懷疑”。零日漏洞確實存在,並且已被政府部門多年使用。但實際上除非您是高風險使用者,如記者或受壓迫政府的異議人士,您可能不需要關閉 iMessage。更好的建議是使用“鎖定模式”,該模式可以禁用蘋果裝置的某些功能,以減少駭客攻擊的途徑。
在任何情況下,我們都應該保持對於網路安全的憂慮,並且尋求可靠的訊息源,以免被虛假宣傳所誤導。
延伸閱讀
- 區塊鍊開始出貨其高階硬體加密錢包
- 美國司法部指責蘋果阻撓 iMessage 在安卓上的解決方案 Beeper
- 蘋果準備好 iMessage 以因應量子電腦破解加密
- 蘋果不必強迫開放 iMessage 給競爭對手,歐盟決定,同時放免三項微軟服務的 DMA 桎梏
- Beeper 表示在經歷了長達一個月的“你追我跑”遊戲後,放棄讓 iMessage 登陸 Android。
- 美國議員呼籲司法部調查蘋果阻止 Beeper 的 iMessage 應用
- 蘋果再次盯上 iMessage 在安卓平臺上的應用 Beeper,但該公司聲稱已經找到解決方案
- 華倫參議員痛批蘋果封殺 Beeper 的「iMessage 到安卓」解決方案
- 蘋果封鎖 Beeper Mini 使用權之後,推出服務讓 iMessage 登陸安卓裝置
- iMessage 預計得到歐盟互通性規定的寬限
