面向 iOS、watchOS 和 macOS，今天蘋果發佈了一個緊急更新，修復了一個重大安全漏洞。 有證據表明該漏洞自今年 2 月以來就被駭客利用，能夠在使用者沒有干預的情況下在設備上安裝 Pegasus 間諜軟體。

週一，蘋果為 iOS、watchOS 和 macOS 推送了緊急更新。 發佈安全補丁是為了應對一個大規模的漏洞，該漏洞允許操作系統在沒有使用者互動的情況下被感染間諜軟體。

多倫多大學公民實驗室的安全研究人員上週二向蘋果公司披露了被稱為「ForcedEntry」的漏洞。 該小組在分析一名沙特活動家的iPhone時發現了這個安全漏洞（CVE-2021-30860）。

這個「零點擊漏洞」利用了 iMessages 的一個弱點，即調用蘋果的圖像渲染庫，可以在沒有任何使用者干預的情況下感染設備。 研究人員發現，蘋果的三個操作系統–iOS、watchOS和macOS–都存在這個漏洞。

使用的間諜軟體是以色列NSO集團開發的有爭議的PegASUS應用程式。 公民實驗室說，它認為這個漏洞自2月以來一直在使用，但不知道有多少設備可能被間諜軟體感染。

公民實驗室的高級研究員約翰·斯科特·雷爾頓（John Scott-Railton）告訴《紐約時報》，這個間諜軟體可以做iPhone使用者在其設備上能做的一切，甚至更多。 共同研究員比爾·瑪律紮克補充說，「商業間諜軟體行業正在走向黑暗」。。

NSO集團堅持認為，它只向政府執法機構出售其間諜軟體，符合地區法律和法規。 然而，該軟體已經出現在非犯罪人員的設備上，包括外交官、活動家和記者。 此外，德國國家警察機構上周因秘密購買和使用Pegasus來監視恐怖分子和有組織犯罪成員而受到嚴厲批評。