據 Google 安全研究人員表示,他們在網路發現許多惡意網站,透過一系列從未公開的 iOS 漏洞,針對 iPhone 攻擊,甚至可能植入追蹤工具或破解儲存於裝置的密碼。
Google 資安團隊 Project Zero 近日發表深度部落格文章指出,網路有許多針對 iOS 裝置而來的惡意網站,每天被不知情的使用者瀏覽數千次,他們稱之為「不分青紅皂白」攻擊。
Project Zero 研究員 Ian Beer 表示,只要使用者瀏覽過這些惡意網站,就足以讓伺服器攻擊自己的裝置,要是不幸成功抓到漏洞,駭客就能植入監控程式。
Ian Beer 也說,惡意網站攻擊 iPhone 裝置的行為,至少長達 2 年。Project Zero 發現至少 5 種不同的攻擊流程,包含 12 個獨立漏洞,其中 7 個與 iOS 內建瀏覽器 Safari 有關。
(Source:Project Zero)
這 5 個截然不同的攻擊流程,都允許惡意程式接觸裝置的「root」最高權限,使攻擊者得以操作裝置的全部功能,這意味著駭客可在使用者不知情或不同意的情況下,悄悄安裝惡意應用程式,藉以監視 iPhone 所有者。
Google 更進一步指出,根據他們的分析,這些遭利用的漏洞,還可以用來竊取使用者的照片和訊息,甚至是攻破裝置儲存密碼的空間。
Project Zero 將漏洞提交蘋果後,約莫一週蘋果馬上發表 iOS 12.1.4 更新,修復這些漏洞。但 Ian Beer 也表示,其他相關駭客活動仍在進行。
有趣的是,根據蘋果對漏洞回報的獎勵規則,這種能略過與使用者互動,就取得最高權限的重大安全性問題,可讓 Google 得到數百萬美元的獎金。
目前蘋果尚未對此發表評論。