据 Google 安全研究人员表示,他们在网络发现许多恶意网站,透过一系列从未公开的 iOS 漏洞,针对 iPhone 攻击,甚至可能植入追踪工具或破解储存于装置的密码。
Google 资安团队 Project Zero 近日发表深度部落格文章指出,网络有许多针对 iOS 装置而来的恶意网站,每天被不知情的使用者浏览数千次,他们称之为“不分青红皂白”攻击。
Project Zero 研究员 Ian Beer 表示,只要使用者浏览过这些恶意网站,就足以让服务器攻击自己的装置,要是不幸成功抓到漏洞,骇客就能植入监控程式。
Ian Beer 也说,恶意网站攻击 iPhone 装置的行为,至少长达 2 年。Project Zero 发现至少 5 种不同的攻击流程,包含 12 个独立漏洞,其中 7 个与 iOS 内建浏览器 Safari 有关。
(Source:Project Zero)
这 5 个截然不同的攻击流程,都允许恶意程式接触装置的“root”最高权限,使攻击者得以操作装置的全部功能,这意味着骇客可在使用者不知情或不同意的情况下,悄悄安装恶意应用程序,藉以监视 iPhone 所有者。
Google 更进一步指出,根据他们的分析,这些遭利用的漏洞,还可以用来窃取使用者的照片和讯息,甚至是攻破装置储存密码的空间。
Project Zero 将漏洞提交苹果后,约莫一周苹果马上发表 iOS 12.1.4 更新,修复这些漏洞。但 Ian Beer 也表示,其他相关骇客活动仍在进行。
有趣的是,根据苹果对漏洞回报的奖励规则,这种能略过与使用者互动,就取得最高权限的重大安全性问题,可让 Google 得到数百万美元的奖金。
目前苹果尚未对此发表评论。
- Malicious websites were used to secretly hack into iPhones for years, says Google
(本文由 T客邦 授权转载;首图来源:Unsplash)
延伸阅读:
- 苹果 iPhone 11 将亮相,电信业估 9/20 开卖
- 先别管分析师预测了,2019 年新 iPhone 提升这些功能后你会买单吗?
- 苹果 AirDrop 功能或隐藏安全漏洞,可取得 iPhone 电话号码、Apple ID
