Google 發現許多惡意網站多年持續攻擊 iPhone,從 iOS 10 到 iOS 12 統統有影響

作者 | 發布日期 2019 年 09 月 03 日 8:30 | 分類 Apple , Google , iOS follow us in feedly


據 Google 安全研究人員表示,他們在網路發現許多惡意網站,透過一系列從未公開的 iOS 漏洞,針對 iPhone 攻擊,甚至可能植入追蹤工具或破解儲存於裝置的密碼。

Google 資安團隊 Project Zero 近日發表深度部落格文章指出,網路有許多針對 iOS 裝置而來的惡意網站,每天被不知情的使用者瀏覽數千次,他們稱之為「不分青紅皂白」攻擊。

Project Zero 研究員 Ian Beer 表示,只要使用者瀏覽過這些惡意網站,就足以讓伺服器攻擊自己的裝置,要是不幸成功抓到漏洞,駭客就能植入監控程式。

Ian Beer 也說,惡意網站攻擊 iPhone 裝置的行為,至少長達 2 年。Project Zero 發現至少 5 種不同的攻擊流程,包含 12 個獨立漏洞,其中 7 個與 iOS 內建瀏覽器 Safari 有關。

(Source:Project Zero

這 5 個截然不同的攻擊流程,都允許惡意程式接觸裝置的「root」最高權限,使攻擊者得以操作裝置的全部功能,這意味著駭客可在使用者不知情或不同意的情況下,悄悄安裝惡意應用程式,藉以監視 iPhone 所有者。

Google 更進一步指出,根據他們的分析,這些遭利用的漏洞,還可以用來竊取使用者的照片和訊息,甚至是攻破裝置儲存密碼的空間。

Project Zero 將漏洞提交蘋果後,約莫一週蘋果馬上發表 iOS 12.1.4 更新,修復這些漏洞。但 Ian Beer 也表示,其他相關駭客活動仍在進行。

有趣的是,根據蘋果對漏洞回報的獎勵規則,這種能略過與使用者互動,就取得最高權限的重大安全性問題,可讓 Google 得到數百萬美元的獎金。

目前蘋果尚未對此發表評論。

(本文由 T客邦 授權轉載;首圖來源:Unsplash

延伸閱讀: