近日，两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机，意味着 macOS 设备并不能自动抵御 *** 威胁。虽然没有提到特定的 macOS 设备型号，深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还是指出，本次攻击是面向 Katzenberg 本人参与投资的身份盗窃保护公司 Aura 的一次技术演示。

据悉，Tobac 利用了现已得到修复的漏洞、并且结合了社会工程技能，以欺骗 Katzenberg 点击钓鱼网站上的恶意链接。

在得逞之后，攻击者便可窃取受害者 Mac 上的照片、电子邮件和联系人等隐私信息。

更让人感到惊悚的是，黑客甚至能够在不触发 macOS 内置麦克风指示器的情况下，悄然开启 Mic 并监听受害者的谈话内容。

Tobac 的丈夫 Evan（也是一名黑客兼安全研究人员），在另一条推文中介绍了本次 macOS 漏洞利用的更多细节。

可知攻击方案基于 Ryan Pickren 的安全研究而构建，当初他因发现 Safari 的跨站脚本漏洞而获得了 10.05 万美元的奖励。更确切地说，黑客可通过 iCloud 链接和 Safari 的共享偏好来开展底层漏洞利用攻击。

不过对于普通 macOS 用户来说，还请不要连续漏过多次版本更新、并养成良好的使用习惯（不轻易点击可疑的邮件连接），不然就会像 Katzenberg 的 Mac 一样易被侵入。

转自 cnBeta ，原文链接：https://www.cnbet *** /articles/tech/1248021.htm
封面来源于 *** ，如有侵权请联系删除