Hacker News 中文摘要

RSS订阅

苹果修复十年iOS零日漏洞,疑遭商业间谍软件利用 -- Apple patches decade-old iOS zero-day, possibly exploited by commercial spyware

原文链接 | HN讨论 | 2026-02-13 01:27:49

文章摘要

苹果修复了一个存在十年的iOS零日漏洞,该漏洞可能已被商业间谍软件利用。这一安全补丁针对的是已被实际利用的系统缺陷,凸显了长期未发现漏洞的风险。

文章总结

苹果修复存在十年的iOS零日漏洞,疑遭商业间谍软件利用

2026年2月12日,苹果公司发布安全补丁,修复了一个影响自iOS 1.0以来所有版本的零日漏洞(CVE-2026-20700)。该漏洞由谷歌威胁分析小组发现,存在于苹果动态链接器dyld中,允许具有内存写入能力的攻击者执行任意代码。

关键细节: 1. 攻击背景:苹果在安全公告中称该漏洞可能被用于"针对特定个体的极高复杂度攻击",疑似与商业间谍软件相关 2. 技术原理:漏洞允许攻击者绕过安全检查,获取系统主控权。安全专家将其比喻为"欺骗看门人交出万能钥匙" 3. 关联漏洞:可能与两个2025年12月披露的漏洞(CVE-2025-14174和CVE-2025-43529)形成攻击链,实现"零点击"入侵 4. 历史意义:该漏洞存在时间超过十年,与Pegasus、Predator等知名间谍工具的攻击手法相似

此次iOS 26.3更新还修复了其他多个漏洞,但苹果仅确认该漏洞已被实际利用。安全专家指出,这种复杂攻击通常与政府客户使用的商业监控软件有关。

(注:已剔除原网页导航栏、评论区、推荐阅读等非核心内容,保留技术细节和关键背景信息)

评论总结

以下是评论内容的总结,涵盖主要观点和论据,并保持不同观点的平衡性:

  1. 设备更新与淘汰问题

    • 用户对旧设备不再获得更新表示不满,认为这会导致设备被淘汰。
    • 引用:
      • "No updates for ipados17. I guess my ipad pro 10.5 is finally a brick." (评论1)
      • "I now have to upgrade all my children's ancient iphones...? I'd much rather not do that." (评论6)

  2. 苹果安全性的质疑

    • 用户对苹果的安全性表示失望,尤其是长期存在的漏洞和间谍软件的威胁。
    • 引用:
      • "I trusted apple." (评论2)
      • "Remember when Apple touted the security platform all-up and a short-time later we learned that an adversary could SMS you and pwn your phone without so much as a link to be clicked." (评论11)

  3. 漏洞的长期存在与利用

    • 用户对漏洞长期未被发现表示震惊,并认为这可能只是冰山一角。
    • 引用:
      • "It's pretty unbeliveable that a zero-day can sit here this long." (评论17)
      • "decade-old vulns like this are why the 'you're not interesting enough to target' argument falls apart." (评论14)

  4. 内存安全与编程语言的选择

    • 用户讨论苹果是否应转向更安全的编程语言(如Swift或Rust),但认为过渡需要时间。
    • 引用:
      • "Are there specific asks in place for that to happen? Is Rust on the table?" (评论8)
      • "the transition is slow - you've got this massive C/C++ codebase in iOS that's been accumulating bugs for 15+ years." (评论14)

  5. 间谍软件与国家行为体的角色

    • 用户怀疑漏洞可能是国家行为体故意植入的,并认为间谍软件技术不断进化。
    • 引用:
      • "These 'exploits' are planted by spy agencies. They don't appear there organically." (评论7)
      • "Each time NSO had the next chain ready prior to patch." (评论11)

  6. 安全与用户体验的权衡

    • 用户指出苹果在安全更新中可能牺牲了用户体验。
    • 引用:
      • "If you want security, be ready to sacrifice UI usability." (评论13)

  7. 开源的优势

    • 用户认为开源在安全性上更具优势。
    • 引用:
      • "Open source wins... again." (评论5)

总结:评论中用户对苹果设备的安全性、更新策略和漏洞管理表达了广泛的不满和质疑,同时对内存安全和间谍软件的威胁提出了深刻的讨论。开源和编程语言的选择也被视为潜在解决方案。