▲ 专家建议iPhone用户尽快更新,避免资料外泄。
你的iPhone更新了吗?资安专家警告,一项影响透明度、同意与控制(TCC)的iOS子系统漏洞恐使骇客窃取大量数据,允许应用程式在未通知使用者情况下,取得包括照片、GPS定位、联络人等敏感资料,因此建议用户立即将装置升级至iOS 18。
根据《每日邮报》,TCC子系统负责在应用程式试图访问敏感资讯时通知用户,但这类漏洞会导致通知系统失效,可能使第三方透过应用程式窃取大量iCloud资料,通常被称为「TCC绕过」(TCC bypass)。资安专家指出,「令人担忧的是这种行为不会留下任何痕迹,对用户隐私与整体资安构成威胁。」
这项漏洞由资安公司Jamf Threat Labs发现,且iPhone与Mac都受到影响。当一个应用程式试图访问储存在另一程式中的资讯,TCC将推播通知要求用户授权,但这项漏洞阻止TCC发出通知,并在用户不知情或未同意情况下授权访问。除了照片、GPS定位及联络人以外,应用程式还可擅自访问文件、健康数据、麦克风或相机等。
Jamf Threat Labs向苹果通报后,苹果已于最新的iOS 18与macOS 15系统中修复这项问题。不过Jamf专家发文指出,这项漏洞突显更广泛的安全问题,也就是骇客可能锁定如iCloud等可用多个装置访问的资料同步服务弱点,藉此窃取重要资料或智慧财产权。
