網(wǎng)絡安全公司iVerify發(fā)現(xiàn)，蘋果iMessage中存在一個此前未知的零點擊漏洞（zero-click vulnerability），已被復雜威脅行為者用于攻擊美國和歐盟地區(qū)的知名人士。該漏洞代號"NICKNAME"，影響iOS 18.1.1及更早版本，蘋果已在iOS 18.3中靜默修復。

漏洞技術原理

"NICKNAME"漏洞利用了iOS設備處理iMessage流量的"imagent"進程中的競態(tài)條件（race condition）。當用戶更新聯(lián)系人資料（包括昵稱、照片或壁紙）時，系統(tǒng)會生成"昵稱更新"數(shù)據(jù)由接收方設備處理。

技術缺陷核心在于imagent處理這些更新數(shù)據(jù)的方式。在蘋果修復前，系統(tǒng)使用可變數(shù)據(jù)容器（NSMutableDictionary對象），這些容器在被其他進程同時訪問時仍可被修改。這導致典型的競態(tài)條件——一個線程可能正在讀取昵稱更新詳情，而另一個線程同時修改同一數(shù)據(jù)容器。

這種內(nèi)存損壞可能觸發(fā)釋放后使用（Use-After-Free，UAF）漏洞，導致imagent進程崩潰。但高級攻擊者可利用此損壞作為初始攻擊手段，最終在目標設備上執(zhí)行代碼。

攻擊活動分析

2024年4月至2025年1月期間，iVerify分析近5萬臺設備的崩潰數(shù)據(jù)，發(fā)現(xiàn)與昵稱更新相關的imagent崩潰極為罕見，僅占收集到的所有崩潰日志的0.001%以下。

特別可疑的是，這些崩潰僅出現(xiàn)在可能成為高級持續(xù)性威脅（APT）攻擊目標的個人設備上。受影響設備屬于歐盟和美國地區(qū)的政治競選工作人員、記者、科技公司高管和政府官員。最值得注意的是，研究人員在一名歐盟高級政府官員的設備上觀察到此類崩潰，約30天后該官員收到了蘋果威脅通知。

對受影響設備的取證分析顯示，存在與已知間諜軟件清理程序一致的異?；顒?。至少在一臺設備上，與短信附件和消息元數(shù)據(jù)相關的目錄在imagent崩潰后僅20秒就被修改并清空，這種行為與已確認的商業(yè)間諜軟件攻擊技術相似。

修復與防護建議

蘋果在iOS 18.3中通過采用更安全的昵稱更新處理方式修復了該漏洞。具體修復措施包括在廣播昵稱更新時使用字典的不可變副本，有效防止了被利用的競態(tài)條件。

imagent進程一直是高級攻擊者的常見目標，此前在FORCEDENTRY和BLASTPASS等高調(diào)攻擊活動中被利用。盡管蘋果在iOS 14中實施了BlastDoor沙箱防護，但頑固的威脅行為者仍在尋找突破蘋果防御的狹窄攻擊途徑。

安全專家建議所有iPhone用戶立即更新至最新iOS版本，高風險個人尤其建議啟用蘋果的鎖定模式（Lockdown Mode），以增強對復雜零點擊攻擊的防護能力。