蘋果(Apple)於 iPhone 13 發表會前夕再度釋出 iOS 14.8 和 iPadOS 14.8 更新,主要是修補 iMessage 「零點擊」和間諜軟體 Pegasus 漏洞更新,蘋果也在更新中強烈建議用戶進行更新,至於 iOS 14.8 災情(耗電、發燙)和 iOS 14.7.1 造成「沒有服務」是否還會發生?這篇一次告訴大家。
iOS 14.8 更新了什麼?
Apple 推出的 iPadOS 14.8 和 iOS 14.8 內部版本號皆為 18H17 ,比較值得注意是 iOS 14.8 並沒有推出測試版本,同等於這次更新並不會加入任何新功能,僅提供安全漏洞修正,要求用戶一定要進行更新。
隨然 Apple 在釋出 iOS 14.8 更新頁面沒有詳細提到安全性修正內容,但是從另一份安全性修正報告中,可以確定蘋果主要是修正繪圖框架(CoreGraphics)和WebKit漏洞,據了解主要是修正iMessage 零點攻擊和Pegasus間諜軟體,Apple 表示當前漏洞已經被駭客組織積極利用。
間諜軟體 Pegasus 漏洞遭修復
以色列駭客公司NSO Group利用間諜軟體 Pegasus用來監控各地記者、政府官員、政界、活動人士等人,全球潛在被監控的設備已經超過5萬台,包含亞塞拜然、巴林、匈牙利、印度、哈薩克、摩洛哥等34個國家600多名政府官員和政界人士,其中1.5萬台手機在墨西哥遭監控,實際還有多少人遭監控目前還不明。
最後 Pegasus 遭網路安全監督組織 The Citizen Lab 揭露,顯示 NSO Group 開發出一款能允許駭客使用 Pegasus 間諜軟體入侵 iPhone,對此 NSO Group CEO 全盤否認,同時還發出聲明,Pegasus 只賣給國家軍方、執法與情報部門,主要用途是監控、追蹤罪犯和恐怖分子。
![NSO Group CEO聲明pegasus用途](https://mrmad.com.tw/wp-content/uploads/2021/09/NSO-Group-CEO-pegasus.jpg)
Pegasus 是如何攻破手機的呢?
目前除了 iOS 以外,就連同 Android 也存在同樣風險,Pegasus 最初是以釣魚連結和發送大量垃圾簡訊夾帶惡意碼方式來攻擊手機,只要用戶點開就會中招。
最新 Pegasus 改良版本,則是採用零點漏洞攻擊手法,利用 JavaScriptCore Binary (jsc)漏洞執行程式碼偽裝 iOS 系統服務,用戶不需要點擊,同樣也會觸發iMessage漏洞,只要提供目標的電話號碼即可讓 Pegasus 透過網路注入完成攻擊,能夠用來監控使用者通話、訊息、定位,以及可以啟用錄影和錄音功能,目前舊版 iOS 14.7.1 或更早之前版本都存在此漏洞,蘋果也針對該漏洞推出 iOS 14.8 、 iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6 修補。
iOS 14.8 安全修正
根據 iOS 14.8 安全頁面顯示繪圖框架(CoreGraphics)漏洞是由網路安全監督組織 The Citizen Lab 所回報,主要是惡意製作PDF可能會造成能執行任意系統代碼,利用 iPhone 的 iMessage 能夠呈現自動圖像漏洞進行攻擊,只要受攻擊設備收到PDF檔,就能觸發漏洞並且入侵,目前影響設備包含 iOS、iPadOS、macOS和watchOS。
另外還有Safari核心引擎 WebKit 漏洞,會造成用戶開啟有夾帶惡意代碼網頁,造成系統觸發漏洞導致會被攻擊。
蘋果安全工程和架構負責人 Ivan Krstić 表示,這次發現 iMessage 漏洞後,Apple已經迅速推出 iOS 14.8 修正,同時也要感謝 The Citizen Lab 提供完整漏洞樣本,這次漏洞攻擊非常複雜,開發成本達到百萬美元,主要是監控特定人士,不過還是要呼籲所有用戶進行更新。
iOS 14.8 災情還有嗎?
也許接下來 iOS 15 更新即將推出,但是多數人還是在意 iOS 14.8 災情是否還存在,目前已知 iOS 14.7.1 比較嚴重的災情是行動網路「沒有服務」問題,同時在 iOS 14.7災情回報中,災情回報有41%用戶認為耗電、48%會發生發燙情況。
至於這些災情是否還會在 iOS 14.8 會出現?或是有改善?麻煩已經更新至 iOS 14.7 用戶透過底下報表回報,可供後續想更新用戶有個參考依據。(看不見下方表格,可點我填寫)
若想知道 iOS 14.8 災情回報狀態,可透過另一篇了解「【iOS 14.8災情總整理】更新是否耗電、發燙、閃退回報查詢」。
(回報截止)
如何更新 iOS 14.8?
如果是想使用電腦 iTunes 更新方式,可以透過「這篇更新來瞭解」。
要是沒有電腦想直接透過 iOS 設備直接更新者,可直接透過「設定」>「一般」>「軟體更新」即可升級至最新版 iOS 。如果無法更新,請透過「這篇技巧解決」。
特別注意:在更新前請選擇透過 iTunes 或 iCloud 備份一次,避免更新過程中可能發生問題,如後悔還可以降回前一個版本,提醒越獄用戶請勿升級。
使用iCloud備份方式
如不了解iCloud備份,可「點我看完整教學」。
使用iCloud備份比較適合有租iCloud空間或是空間還足夠者使用,如果是佔用空間太大,不想花錢租iCloud可使用下方iTunes進行備份。先確認「iCloud 備份」功能是否有打開,在「設定」>「Apple ID」>「 iCloud 備份」。
將「iCloud 備份」開啟,如果有開啟先確認上次備份時間,要是從沒有開啟iCloud備份,點「立即備份」即可。
使用iTunes備份方式
- 開啟 iTunes,然後將裝置連接到電腦。
- 如果顯示訊息,要求您提供裝置密碼或「信任這部電腦」。
- 只要按一下「立即備份」即可。
如果不懂操作細節,可以透過「iTunes備份教學」瞭解。
iOS 14.8 / iPadOS 14.8 正式版IPSW下載
此IPSW比較適合使用 iTunes 更新下載。
點我去下載iOS 14.8 | 點我下載iPadOS 14.8
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。