網絡安全公司iVerify發現，蘋果iMessage中存在一個此前未知的零點擊漏洞（zero-click vulnerability），已被復雜威脅行為者用于攻擊美國和歐盟地區的知名人士。該漏洞代號"NICKNAME"，影響iOS 18.1.1及更早版本，蘋果已在iOS 18.3中靜默修復。

漏洞技術原理

"NICKNAME"漏洞利用了iOS設備處理iMessage流量的"imagent"進程中的競態條件（race condition）。當用戶更新聯系人資料（包括昵稱、照片或壁紙）時，系統會生成"昵稱更新"數據由接收方設備處理。

技術缺陷核心在于imagent處理這些更新數據的方式。在蘋果修復前，系統使用可變數據容器（NSMutableDictionary對象），這些容器在被其他進程同時訪問時仍可被修改。這導致典型的競態條件——一個線程可能正在讀取昵稱更新詳情，而另一個線程同時修改同一數據容器。

這種內存損壞可能觸發釋放后使用（Use-After-Free，UAF）漏洞，導致imagent進程崩潰。但高級攻擊者可利用此損壞作為初始攻擊手段，最終在目標設備上執行代碼。

攻擊活動分析

2024年4月至2025年1月期間，iVerify分析近5萬臺設備的崩潰數據，發現與昵稱更新相關的imagent崩潰極為罕見，僅占收集到的所有崩潰日志的0.001%以下。

特別可疑的是，這些崩潰僅出現在可能成為高級持續性威脅（APT）攻擊目標的個人設備上。受影響設備屬于歐盟和美國地區的政治競選工作人員、記者、科技公司高管和政府官員。最值得注意的是，研究人員在一名歐盟高級政府官員的設備上觀察到此類崩潰，約30天后該官員收到了蘋果威脅通知。

對受影響設備的取證分析顯示，存在與已知間諜軟件清理程序一致的異常活動。至少在一臺設備上，與短信附件和消息元數據相關的目錄在imagent崩潰后僅20秒就被修改并清空，這種行為與已確認的商業間諜軟件攻擊技術相似。

修復與防護建議

蘋果在iOS 18.3中通過采用更安全的昵稱更新處理方式修復了該漏洞。具體修復措施包括在廣播昵稱更新時使用字典的不可變副本，有效防止了被利用的競態條件。

imagent進程一直是高級攻擊者的常見目標，此前在FORCEDENTRY和BLASTPASS等高調攻擊活動中被利用。盡管蘋果在iOS 14中實施了BlastDoor沙箱防護，但頑固的威脅行為者仍在尋找突破蘋果防御的狹窄攻擊途徑。

安全專家建議所有iPhone用戶立即更新至最新iOS版本，高風險個人尤其建議啟用蘋果的鎖定模式（Lockdown Mode），以增強對復雜零點擊攻擊的防護能力。