苹果公司在iOS14中为iMessage创建了一个新的“BlastDoor”安全系统，以阻止恶意行为者通过短信锁定个别iPhone用户。

多年来，Messages应用程序中的各种漏洞为那些利用共享缓存或暴力攻击闯入Messages应用程序的坏人打开了许多新的攻击载体。安全研究人员一直警告说，苹果流行的iMessage消息功能在清除传入的用户数据方面做得很差。

imessage远程代码执行错误

解析不受信任的输入总是有风险的，坏的参与者都非常清楚这一点。恶意用户通常会发现一个零日消息错误，并利用它在野外。后来，苹果公司接到通知后，会修补这个漏洞。苹果和安全社区之间的这种猫捉老鼠的游戏并不是什么新鲜事。

相关：有用的苹果信息群聊天技巧

BlastDoor通过在一个隔离的环境中解析所有iMessage数据来解决这个问题。这可以防止恶意编写的文本破坏消息应用程序、窃取用户数据或损害底层操作系统。沙盒将正在运行的程序与系统的其他部分分离开来，并且已经在iOS中的几个地方大量使用。

非常坚固的地下室

BlastDoor为Messages应用程序和iMessage带来了一个沙盒机制。据ZDNet称，ios14、ipados14和macos11中的这种新安全机制最早是由Google的projectzero安全研究员samuelgroß发现的。

但这激起了Samuel的兴趣，尤其是在他发现iOS14、iPadOS14和MacOS11为Messages应用引入了改进的安全防御之后。根据他的博客文章，BlastDoor系统为iMessage增加了一个强大的安全层。

Overall, these changes are probably very close to the best that could've been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole.

这篇博文不仅详细介绍了新的BlastDoor服务，还介绍了iMessages数据处理的其他改进，包括共享缓存的重新滑动和指数节流。

It's great to see Apple putting aside the resources for these kinds of large refactorings to improve end users' security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

总之，Groß称新的BlastDoor特性接近于“考虑到向后兼容性的需要，可以做到的最好”

ios 14.4中的主要安全补丁

iOS 14.4和iPadOS 14.4的更新包含了三个漏洞的补丁，苹果称这三个漏洞“可能已被积极利用”。当一起使用时，这些漏洞可能导致权限提升和远程代码执行攻击。

相关：你可以用iPhone iMessage应用做一些很酷的事情

苹果和安全研究人员都不愿公开表示，这些修补过的漏洞是否可能被用来实施针对半岛电视台工作人员和记者的黑客攻击活动。值得一提的是，公民实验室项目已经证实，使半岛电视台（Al-Jazeera）黑客攻击成为可能的可疑漏洞确实不再在ios14中工作。

我怎样才能保护自己？

保护自己免受未知消息攻击的最佳方法是使设备保持最新。一旦有可用的更新，立即更新设备上的系统软件。不要打开可疑附件或来自未知联系人的未经请求的短信。这并不能完全保护您免受零日攻击，但是这些措施——结合新的BlastDoor安全功能——应该有助于提高您的安全性。

要无线更新iPhone、iPad或iPod touch至最新的iOS软件，请进入“设置”&gt；“常规”&gt；“软件更新”。如果您看到消息说有可用的更新，请点击“立即安装”。设备必须**电源并连接到Wi-Fi。

要更新Mac上的macOS操作系统软件，请从Apple菜单中选择“系统首选项”，然后选择“软件更新”选项。如果有可用的更新，请单击“立即更新”按钮进行安装。可能会要求您输入管理员密码以完成更新的安装。