苹果公司发布了一项重要的iPhone安全更新，以解决iOS 16中的一个零日漏洞，该漏洞可能允许攻击者在iPhone用户没有任何互动的情况下远程安装间谍软件。间谍软件研究组织公民实验室(Citizen Lab)立即通知了苹果。

　　零点击零日漏洞被安装在华盛顿一家公民社会组织员工的iPhone上。飞马是由私人承包商开发的间谍软件，供政府机构使用。间谍软件感染手机并发回数据，包括照片、消息和音频/视频记录。

　　该漏洞涉及通过iMessage发送的PassKit附件

　　苹果公司在发现这个漏洞后的几天内，对iPhone用户来说安装这个更新是至关重要的，即使他们不太可能成为间谍软件的目标。仍然有很多组织愿意对iOS安全更新进行逆向工程，试图发现如何利用这个新漏洞，从而增加了更广泛攻击的风险。

　　由于显而易见的原因，公民实验室没有提供漏洞的完整分解，但该漏洞涉及PassKit(苹果支付和钱包背后的框架)，该附件加载了通过iMessage发送的恶意图像。公民实验室表示:“我们希望在未来发布更详细的攻击链讨论。”

　　尤其是那些在苹果意识到安全漏洞之前就被积极利用的漏洞。苹果甚至开发了一个快速安全响应系统，可以在不重启设备的情况下为iPhone添加安全补丁。

　　公民实验室表示，最重要的是，它可以保护用户免受这种最新漏洞的攻击，所以如果你有被国家资助的间谍软件攻击的风险，那么启用这种模式是非常值得的。