黑客演示入侵电影制片人 Mac 计算机 证明 macOS 无法主动抵御网络威胁

近日，两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机，意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号，深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还是指出，本次攻击是面向 Katzenberg 本人参与投资的身份盗窃保护公司 Aura 的一次技术演示。

http://hackernews.cc/wp-content/uploads/2022/03/c0136c30c270f96-572x600.png

据悉，Tobac 利用了现已得到修复的漏洞、并且结合了社会工程技能，以欺骗 Katzenberg 点击钓鱼网站上的恶意链接。

在得逞之后，攻击者便可窃取受害者 Mac 上的照片、电子邮件和联系人等隐私信息。

更让人感到惊悚的是，黑客甚至能够在不触发 macOS 内置麦克风指示器的情况下，悄然开启 Mic 并监听受害者的谈话内容。

http://hackernews.cc/wp-content/uploads/2022/03/0200ca0184b6edd-339x600.jpg

Tobac 的丈夫 Evan（也是一名黑客兼安全研究人员），在另一条推文中介绍了本次 macOS 漏洞利用的更多细节。

http://hackernews.cc/wp-content/uploads/2022/03/f2d900aab201b20-600x287.jpg

可知攻击方案基于 Ryan Pickren 的安全研究而构建，当初他因发现 Safari 的跨站脚本漏洞而获得了 10.05 万美元的奖励。更确切地说，黑客可通过 iCloud 链接和 Safari 的共享偏好来开展底层漏洞利用攻击。

http://hackernews.cc/wp-content/uploads/2022/03/e1f4394f9301d15-531x600.png

不过对于普通 macOS 用户来说，还请不要连续漏过多次版本更新、并养成良好的使用习惯（不轻易点击可疑的邮件连接），不然就会像 Katzenberg 的 Mac 一样易被侵入。

转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1248021.htm
封面来源于网络，如有侵权请联系删除