根據 Google 的安全研究人員表示,他們在網路上發現了許多惡意網站,透過一系列從未公開過的 iOS 漏洞,針對 iPhone 進行攻擊,甚至有可能被植入追蹤工具或破解儲存於裝置中的密碼。
Google 的資安團隊 Project Zero 近日發表一篇深度部落格文章指出,網路上有許多針對 iOS 裝置而來的惡意網站,每天被不知情的使用者們瀏覽了數千次,他們將之稱為「不分青紅皂白」的攻擊。
Project Zero 研究員 Ian Beer 表示,只要使用者瀏覽了這些惡意網站,就足以讓伺服器攻擊自己手上的設備,要是不幸成功利用了漏洞,駭客就可以植入監控程式。
Ian Beer 也說,惡意網站攻擊 iPhone 裝置的行為,已經至少長達兩年。Project Zero 發現了至少五種不同的攻擊流程,包含了 12 個獨立漏洞,其中 7 個與 iOS 內建瀏覽器 Safari 有關。
這五個截然不同的攻擊流程,都允許讓惡意程式接觸到裝置的「root」最高權限,使攻擊者得以操作設備的全部功能,這意味著駭客可以在使用者不知情或不同意的情況下,悄悄地安裝惡意應用程式,藉以監視 iPhone 所有者。
Google 更進一步指出,根據他們的分析,這些遭受利用的漏洞,還可以被用來竊取使用者的照片和訊息,甚至是攻破裝置上儲存密碼的空間。
Project Zero 將漏洞提交給 Apple 後,約莫一周 Apple 即發表了 iOS 12.1.4 更新,修復了這些漏洞。但 Ian Beer 也表示,其他相關的駭客活動仍在進行當中。
有趣的是,根據 Apple 對於漏洞回報的獎勵規則,這種能夠忽略與使用者進行互動,就取得最高權限的重大安全性問題,將可以讓 Google 得到數百萬美元的獎金。
目前 Apple 尚未對此發表評論。
來源:The Verge
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@
Google的分析中強烈暗指這聯串攻擊是成本極為昂貴的國家級駭客行動,用來暗中監控人民
“ To be targeted might mean simply being born in a certain geographic region or being part of a certain ethnic group.”
“ I shan't get into a discussion of whether these exploits cost $1 million, $2 million, or $20 million. I will instead suggest that all of those price tags seem low for the capability to target and monitor the private activities of entire populations in real time.”
https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/