前天凌晨，苹果突然向iOS用户推送了iOS9.3.5系统更新。据了解，这个紧急更新是为了封堵一个被称为“三叉戟”的安全漏洞。利用该漏洞，黑客可远程控制他人的iPhone，风险很大。

　　在此次更新中，苹果公司称是因为该版本“提供了重要的安全性更新”并建议所有iOS用户更新，这在之前是很少见的，也可以看出该安全问题的严重程度。

　　这个漏洞被发现纯属偶然

　　近日，阿联酋活动家艾哈迈德·曼苏尔（Ahmed Mansoor）发现自己的iPhone经常收到一些可疑短信。于是，他将这些短信交给加拿大多伦多大学蒙克学校的公民实验室（ Citizen Lab）进行分析。

　　公民实验室的两名安全人员比尔·马克扎克和约翰·斯科特·雷尔顿，追踪到监视源头，发现其连接了200台服务器，有些服务器是注册在一个叫NSO的集团名下。分析这一间谍软件的代码，还发现一些线索，指向一个叫 Pegasus（天马）的产品，也就是NSO集团的一款间谍软件产品。

　　公民实验室和旧金山移动安全公司Lookout的共同调查发现，这款间谍软件利用了3个苹果iOS系统的漏洞。这3个漏洞中，其中一个存在于Safari WebKit，一旦目标用户给盯上，用户点击一个网页链接，整台设备就“缴械投降”了。另一个漏洞存在于iOS核心，致使信息泄露，第3个问题是内核内存损坏。他们把这3个漏洞称为“Trident”（三叉戟）。

　　这3个漏洞加起来，用户只需点击一个链接，就足以让攻击者越狱目标设备，进而安装监控、数据拦截等一系列攻击软件。

　　“一旦被感染，曼苏尔的手机将成为他口袋中的一个数字间谍，能够调用他iPhone的摄像头和麦克风去窥探这部设备附近的活动，录下他WhatsApp和Viber的通话，记录移动聊天应用发送的信息，追踪他的行踪。”公民实验室在一则公示上写道。

　　由于苹果公司当时尚未发现这3个漏洞，更没有在修复这些漏洞。这家机构就于8月15日向苹果发出提醒。

　　苹果公司迅速做出反应，在10天内调查出漏洞并迅速修复该漏洞。苹果公司还表示，上周的iOS 10公共测试版和开发者预览版中他们已经修复了这些漏洞。

　　利用安全漏洞 黑客可远程接管他人手机

　　利用“三叉戟”漏洞，用户只需轻轻点击黑客发来的链接，手机就会被远程越狱，黑客可以获得手机的最高权限；利用最高权限，黑客可以远程对用户的iPhone进行操作、控制，查看手机摄像头、窃听用户谈话和录音、查看用户的应用信息。

　　某科技公司安全研究团队负责人高雪峰介绍，黑客只要发送恶意链接诱骗用户点击，苹果手机就会被黑客接管，从而窃取短信、邮件、通话记录、电话录音、存储的密码等大量隐私数据，监听并窃取Whatsapp、微信等社交软件的聊天信息，而iPhone用户完全无法察觉。这是苹果史上第一次公开披露的针对iOS的APT0day攻击。正是鉴于这一危害特别严重，苹果才在短时间内火线修复漏洞。

　　“三叉戟”安全漏洞严重威胁用户的安全和隐私

　　此次发现的“三叉戟”安全漏洞，被一些业内人士称为“最为复杂的间谍软件”，这主要缘于它同时利用了苹果操作系统的3个0day漏洞，即此前未知、发现即被恶意利用的安全漏洞。

　　英国广播公司援引网络安全专家艾伦·伍德沃德的话说，0day漏洞本就罕见，一次发现数个这样的漏洞更是罕见。“就目前这些漏洞被利用的情况来看，这对苹果iOS操作系统用户的安全和隐私构成严重威胁”。

　　由于0day漏洞罕见，能够发现并利用这种系统安全漏洞编写攻击软件，在网络间谍领域意味着“丰厚利润”。据美联社报道，去年11月曾有人出价100万美元购买这类间谍软件。

　　鉴于“三叉戟”漏洞信息已公开，针对iPhone的大规模攻击很可能会蜂拥而至。某科技公司安全研究团队负责人高雪峰也特别提醒苹果用户尽快更新到iOS9.3.5，在系统更新之前不要轻易点击可疑来源的链接。

　　如果你是iphone手机，赶紧更新iOS系统，然后转发给身边的朋友吧！

　　最新天气提醒

　　今天夜里到明天晴到多云，偏北风4级左右，气温17到31度，相对湿度30-90%。

　　30日晴到多云，偏西风3到4级，气温17到31度。

今日徐州空气质量

　　7个监测点分别是