1月11日消息,据 MacRumors 报道,微软的 365 Defender 研究团队发布了有关新的“Powerdir”Mac OS 漏洞的详细信息,该漏洞使攻击者可以绕过透明、同意和控制技术来获得对受保护数据的未经授权的访问。
微软称,“Powerdir”安全漏洞可能允许植入虚假的 TCC 数据库。TCC 是一项长期运行的 macOS 功能,允许用户配置其应用程序的隐私设置,并且通过伪造数据库,恶意人员可以劫持安装在 Mac 上的应用程序或安装自己的恶意应用程序,访问麦克风和摄像头以获取敏感信息信息。
事实上,苹果的确要感谢微软,在去年12月发布的macOS Monterey 12.1更新中,苹果已经解决了CVE-2021-30970漏洞,因此已经更新到最新版本Monterey的用户得到了保护,而苹果在其12.1更新的安全发布说明中确认了TCC漏洞,并将其发现归功于微软。
微软表示,其安全研究人员将继续“监控威胁形势”,以发现影响 Mac OS 和其他非 Windows 设备的新漏洞和攻击者技术。
(图源sogou无版权图库)
事实上,如果把操作系统比作一个别墅,那么漏洞就相当于在墙上开了个口子,黑客就可以从这个口子钻进去偷东西搞破坏。漏洞更厉害的地方在于,软件是可以大规模复制的,你电脑上的系统有这个漏洞,那其他人电脑上也会有这个漏洞,这意味着黑客一旦掌握某个漏洞,就能出入所有相同系统的电脑。
因此,一度有人把漏洞比作互联网的核武器。如今,每修复一个漏洞,厂商不仅会对提交漏洞的组织公开致谢,也会给漏洞发现者一笔费用。
具体流程是,部分搞安全的企业或者技术大神把发现的漏洞告诉厂商,比如 Mac OS的漏洞就告诉苹果,Windows的漏洞就告诉微软,Android的漏洞就会告诉谷歌,然后厂商在第一时间修复漏洞,再向用户推动修复补丁,以确保用户不会受到伤害。如果有用户在更新时看系统升级的说明,有时候会发现“安全性更新”的字样,实际上就是厂商在修复系统的漏洞。
为了确保漏洞被修复,一些政企机构在很早之前就推出了“漏洞赏金计划”。
(图源sogou无版权图库)
早在 2010 年,Google 就推出了漏洞悬赏计划(VRP,Vulnerability Rewards Programs),安全研究人员可以将发现的漏洞直接提交给 Google。获得漏洞报告后,Google 将会对漏洞报告进行审核,并根据漏洞危害程度向安全研究人员发放 100 美金到 3 万美金不等的赏金。
自 2010 年诞生以来,Google 在第一个十年里已经奖励了来自 84 个国家的 2022 名研究人员所提交的 11055 个 bug,总支付金额达到了 2936 万美元。
微软漏洞赏金计划于2014年9月23日正式启动,直到2019年,微软真正针对旗下包括Windows、Office等所有产品开启了漏洞奖励计划,奖金也提高到了史无前例的最高25万美元。
苹果在 2016 年 8 月面向 iOS 系统推出了「漏洞赏金计划」,安全研究人员发现 iOS 系统漏洞之后,苹果经评定漏洞严重程度来向研究人员支付赏金。随后macOS、watchOS 等系统也加入了「漏洞赏金计划」,并向所有安全研究人员开放赏金奖励,并且根据漏洞的严重程度,奖金也从之前最高 20 万美金提高至 100 万美金。
Intel也曾于2017年3月推出漏洞报告赏金计划,主要针对公司的硬件,固件和软件,旨在激励安全研究人员与之合作,发现并报告潜在漏洞。Intel表示,这一方面帮助Intel加强了产品安全性,同时有助于实现负责且协调一致的信息披露流程,英特尔为查找系统中的错误提供的最低金额为500美元,为检测严重错误最多支付30,000美元。
总之,安全是互联网企业发展的重中之重,有时候失去利润,会失去很多,但失去安全,会失去一切。而对于安全研究人员而言,安全漏洞的攻击就像核武器,中国发展核武器,并不是要使用,而实为了打破大国的和垄断,进而消灭核武器,研究漏洞的人并不是为了首先发起攻击,而是为了让某些东西无法威胁我们。