iPhone的USB-C端口安全漏洞及iMessage诈骗的一个陷阱

在iPhone 15和16中配备的USB-C端口控制器发现了一个安全漏洞。然而，利用这个漏洞将非常复杂，因此苹果公司和发现该漏洞的安全研究人员都得出结论，它不是一个实际的威胁。

iPhone的USB-C端口存在安全漏洞

安全研究人员Thomas Roth发现了一个在苹果供应链中首次引入的USB-C控制器芯片中的漏洞。理论上，它可以被用来攻击iPhone，正如Cyber Security News报道的那样。

安全研究人员成功破解了苹果公司的专有ACE3 USB-C控制器。这款芯片与iPhone 15和iPhone 15 Pro一起推出，标志着USB-C技术的重大飞跃，负责电源传输，并作为具有访问关键内部系统的复杂微控制器工作。

Roth 的团队能够在 ACE3 芯片上执行代码。通过仔细测量芯片启动过程中的电磁信号，他们确定了固件验证的确切时刻。

在这个关键时刻使用电磁故障注入，他们成功绕过了验证检查，并将修改过的固件补丁加载到芯片的CPU中。

理论上，这可能会使攻击者完全控制一台iPhone。

然而，这需要对设备进行物理访问，并且非常难以实施。Macworld报道说，在仔细检查所使用的方法后，苹果认为这不是一个现实的威胁，Roth也表示同意。

iMessage诈骗团伙使用的策略可以绕过保护措施

短信和iMessages常被诈骗者用来发送旨在进行网络钓鱼攻击的链接，并尝试在iPhone上安装恶意软件。

为了防止这种情况，如果你收到一条来自不在你联系人列表中的人的iMessage，并且你们从未交换过消息，你的iPhone会自动禁用消息中的任何链接。这些链接以普通文本形式显示，无法被点击。

然而，诈骗者找到了绕过这一保护的方法。如果他们能说服你回复消息，即使回复的是一个STOP命令，旨在指示合法发件人不要再给你发消息，那么这种保护就会被禁用。

苹果告诉BleepingComputer，如果用户回复该消息或将发件人添加到联系人列表中，链接将被启用。

在过去的几个月里，BleepingComputer目睹了一波针对用户的短信欺诈攻击，这些攻击试图诱使用户回复一条短信以重新启用链接。

该网站展示了来自美国邮政服务和收费公路公司的假文本示例，每个文本都要求收件人回复“Y”。这将激活链接。

“这很常见，以至于我只需查看已删除的消息文件夹就能找到上述例子的照片。”

如何保护自己

不要点击来自电子邮件或其他消息中的任何链接，除非你期望收到。最佳实践是永远只使用自己的书签或手动输入URL，并且只有在有充分理由相信消息真实时才这样做。如果不确定，请通过已知的联系信息打电话或发消息给公司进行核实。

• 如何防止iPhone密码重置攻击
• 苹果公司分享如何保护你的Apple ID、避免钓鱼和其他骗局的方法。