蘋果（Apple）於 iPhone 13 發表會前夕再度釋出 iOS 14.8 和 iPadOS 14.8 更新，主要是修補 iMessage 「零點擊」和間諜軟體 Pegasus 漏洞更新，蘋果也在更新中強烈建議用戶進行更新，至於 iOS 14.8 災情（耗電、發燙）和 iOS 14.7.1 造成「沒有服務」是否還會發生？這篇一次告訴大家。

iOS 14.8 更新了什麼？

Apple 推出的 iPadOS 14.8 和 iOS 14.8 內部版本號皆為 18H17 ，比較值得注意是 iOS 14.8 並沒有推出測試版本，同等於這次更新並不會加入任何新功能，僅提供安全漏洞修正，要求用戶一定要進行更新。

隨然 Apple 在釋出 iOS 14.8 更新頁面沒有詳細提到安全性修正內容，但是從另一份安全性修正報告中，可以確定蘋果主要是修正繪圖框架（CoreGraphics）和WebKit漏洞，據了解主要是修正iMessage 零點攻擊和Pegasus間諜軟體，Apple 表示當前漏洞已經被駭客組織積極利用。

間諜軟體 Pegasus 漏洞遭修復

以色列駭客公司NSO Group利用間諜軟體 Pegasus用來監控各地記者、政府官員、政界、活動人士等人，全球潛在被監控的設備已經超過5萬台，包含亞塞拜然、巴林、匈牙利、印度、哈薩克、摩洛哥等34個國家600多名政府官員和政界人士，其中1.5萬台手機在墨西哥遭監控，實際還有多少人遭監控目前還不明。

最後 Pegasus 遭網路安全監督組織 The Citizen Lab 揭露，顯示 NSO Group 開發出一款能允許駭客使用 Pegasus 間諜軟體入侵 iPhone，對此 NSO Group CEO 全盤否認，同時還發出聲明，Pegasus 只賣給國家軍方、執法與情報部門，主要用途是監控、追蹤罪犯和恐怖分子。

Pegasus 是如何攻破手機的呢？

目前除了 iOS 以外，就連同 Android 也存在同樣風險，Pegasus 最初是以釣魚連結和發送大量垃圾簡訊夾帶惡意碼方式來攻擊手機，只要用戶點開就會中招。

最新 Pegasus 改良版本，則是採用零點漏洞攻擊手法，利用 JavaScriptCore Binary (jsc)漏洞執行程式碼偽裝 iOS 系統服務，用戶不需要點擊，同樣也會觸發iMessage漏洞，只要提供目標的電話號碼即可讓 Pegasus 透過網路注入完成攻擊，能夠用來監控使用者通話、訊息、定位，以及可以啟用錄影和錄音功能，目前舊版 iOS 14.7.1 或更早之前版本都存在此漏洞，蘋果也針對該漏洞推出 iOS 14.8 、 iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6 修補。

iOS 14.8 安全修正

根據 iOS 14.8 安全頁面顯示繪圖框架（CoreGraphics）漏洞是由網路安全監督組織 The Citizen Lab 所回報，主要是惡意製作PDF可能會造成能執行任意系統代碼，利用 iPhone 的 iMessage 能夠呈現自動圖像漏洞進行攻擊，只要受攻擊設備收到PDF檔，就能觸發漏洞並且入侵，目前影響設備包含 iOS、iPadOS、macOS和watchOS。

另外還有Safari核心引擎 WebKit 漏洞，會造成用戶開啟有夾帶惡意代碼網頁，造成系統觸發漏洞導致會被攻擊。

蘋果安全工程和架構負責人 Ivan Krstić 表示，這次發現 iMessage 漏洞後，Apple已經迅速推出 iOS 14.8 修正，同時也要感謝 The Citizen Lab 提供完整漏洞樣本，這次漏洞攻擊非常複雜，開發成本達到百萬美元，主要是監控特定人士，不過還是要呼籲所有用戶進行更新。