Google 發現許多惡意網站多年來持續攻擊 iPhone,從 iOS 10 到 iOS 12 通通有影響

根據 Google 的安全研究人員表示,他們在網路上發現了許多惡意網站,透過一系列從未公開過的 iOS 漏洞,針對 iPhone 進行攻擊,甚至有可能被植入追蹤工具或破解儲存於裝置中的密碼。

Google 的資安團隊 Project Zero 近日發表一篇深度部落格文章指出,網路上有許多針對 iOS 裝置而來的惡意網站,每天被不知情的使用者們瀏覽了數千次,他們將之稱為「不分青紅皂白」的攻擊。

Project Zero 研究員 Ian Beer 表示,只要使用者瀏覽了這些惡意網站,就足以讓伺服器攻擊自己手上的設備,要是不幸成功利用了漏洞,駭客就可以植入監控程式。

Ian Beer 也說,惡意網站攻擊 iPhone 裝置的行為,已經至少長達兩年。Project Zero 發現了至少五種不同的攻擊流程,包含了 12 個獨立漏洞,其中 7 個與 iOS 內建瀏覽器 Safari 有關。

Google 發現許多惡意網站多年來持續攻擊 iPhone,從 iOS 10 到 iOS 12 通通有影響

這五個截然不同的攻擊流程,都允許讓惡意程式接觸到裝置的「root」最高權限,使攻擊者得以操作設備的全部功能,這意味著駭客可以在使用者不知情或不同意的情況下,悄悄地安裝惡意應用程式,藉以監視 iPhone 所有者。

Google 更進一步指出,根據他們的分析,這些遭受利用的漏洞,還可以被用來竊取使用者的照片和訊息,甚至是攻破裝置上儲存密碼的空間。

Project Zero 將漏洞提交給 Apple 後,約莫一周 Apple 即發表了 iOS 12.1.4 更新,修復了這些漏洞。但 Ian Beer 也表示,其他相關的駭客活動仍在進行當中。

Google 發現許多惡意網站多年來持續攻擊 iPhone,從 iOS 10 到 iOS 12 通通有影響

有趣的是,根據 Apple 對於漏洞回報的獎勵規則,這種能夠忽略與使用者進行互動,就取得最高權限的重大安全性問題,將可以讓 Google 得到數百萬美元的獎金。

目前 Apple 尚未對此發表評論。

來源:The Verge

想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@

使用 Facebook 留言

k
1.  k (發表於 2019年9月01日 10:34)
Google寫” a small collection of hacked websites.”參考來源的報導寫比較中性的用語”a number of websites”,居然可以被翻譯成跟Google原意相反的「許多惡意網站」,邏輯上也完全不通,用了一堆高價漏洞卻高調大規模散佈,馬上就會引起注意使漏洞失效損失慘重,根本毫無道理

Google的分析中強烈暗指這聯串攻擊是成本極為昂貴的國家級駭客行動,用來暗中監控人民
“ To be targeted might mean simply being born in a certain geographic region or being part of a certain ethnic group.”

“ I shan't get into a discussion of whether these exploits cost $1 million, $2 million, or $20 million. I will instead suggest that all of those price tags seem low for the capability to target and monitor the private activities of entire populations in real time.”
k
2.  k (發表於 2019年9月01日 11:21)
參考來源是TechCrunch不是TheVerge,還有剛剛TechCrunch發佈了一篇新的報導表示根據消息來源此攻擊與中國政府監控維吾爾族人民有關

https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/

發表回應

謹慎發言,尊重彼此。按此展開留言規則