作者:禅与计算机程序设计艺术
1.背景介绍
近年来,由于越来越多的手机用户使用了iMessage、WhatsApp等即时通讯软件进行日常沟通和交流,因此,保护用户隐私和个人信息安全一直是当务之急。
其中,iOS操作系统上应用层级的IM消息加密功能虽然可靠地保证了通信双方的隐私安全,但仍然存在漏洞。一个典型的漏洞就是CVE-2021-35216漏洞,该漏洞是在苹果iOS 14.7和14.7.1上发现的IM消息加密算法的缺陷,导致攻击者可以窃取到IM中传输的数据。同时,国内外一些研究人员也发布相关论文证实此漏洞的存在。
为了更好地保护用户的信息安全,各大厂商和组织都在不断完善其产品和服务,并与安全漏洞周旋。苹果公司本身也已经做出了积极响应,在去年秋天推出的OS更新14.7中修复了此漏洞,并在iOS 14.7.1中进一步提升了安全性。
但是,相比于其他漏洞,CVE-2021-35216目前仍有较高的风险。原因如下:
-
漏洞存在时间较短:该漏洞被公开的时间仅限于去年年底出现的几次,并且随后各大厂商在时间上都相对滞后。另外,受到影响的用户较少,导致此漏洞的危害较低。
-
漏洞难以直接利用:要触发此漏洞,需要借助外部工具、技术或方法。因此,攻击者必须具备丰富的攻击技能才能成功攻克此漏洞。
-
漏洞修复速度缓慢:在去年12月份的iOS 14.7发布会上,苹果发布了此漏洞的修复版本,并配合更新补丁同步更新了所有支持IM消息加密功能的设备。而在上个月的OS更新14.7.1发布会上,苹果只在有限范围内修复了此漏洞,仍有许多手机没有升级到最新版本。
综上所