每日最新頭條.有趣資訊

谷歌稱發現iPhone嚴重安全漏洞 大量用戶個人信息或已洩露

騰訊證券8月31日訊,據外媒報導,谷歌安全分析團隊Project Zero的研究人員日前透露,他們發現了幾個被黑客入侵的網站,這些網站多年來不斷在一些用戶的iPhone上安裝惡意軟體,並竊取個人信息。如果人們訪問了其中一個網站,他們的信息、照片和位置數據可能會被洩露。該團隊在今年早些時候向蘋果公司報告了他們的這一發現,針對該漏洞的一個補丁已在修複FaceTime竊聽漏洞的那次更新中被發布。

截止發稿,蘋果股價下跌0.72%。

“沒有用戶可以幸免。僅僅是訪問被黑客入侵的網站就足以讓伺服器攻擊你的設備,如果成功的話,黑客還可以在你的設備上安裝一個監測植入物。我們估計,這些網站每周會有數千名的訪問者。”

這些黑客攻擊是iPhone上所罕見的,iPhone通常被認為是高度安全的設備。蘋果公司懸賞100萬美元,獎勵那些能在其設備上發現關鍵漏洞的安全研究人員。通常,對iPhone的攻擊很難實施,而且通常僅限於國家之間的間諜活動。目前還不清楚這次攻擊的幕後主使是誰,其可能危及數百萬台設備,而且只需用戶訪問這些網站一次。

防毒軟體Malwarebytes的Mac和移動安全主管托馬斯-裡德(Thomas Reed)在一封電子郵件中表示:“針對iPhone的攻擊一直都是可能的,但由於攻擊的成本太高,這些病毒從未被用於類似這種公開市場的黑客入侵。過去,iOS惡意軟體主要用於國家間的針對性攻擊。通過針對特定的人群,這些攻擊限制了所使用漏洞的暴露範圍,因此不太容易被蘋果公司發現。”

這次黑客攻擊並沒有利用任何一個單獨的漏洞。谷歌的團隊發現,該攻擊在五個獨立的攻擊鏈上使用了14個零日(zero-day)漏洞。這些漏洞的影響範圍從iOS 10覆蓋到目前的iOS 12,這意味著黑客針對iPhone用戶的攻擊至少持續了兩年。當谷歌在今年2月披露該漏洞給蘋果時,蘋果在不到一周內就發布了一個補丁。

這次黑客入侵讓攻擊者完全控制了受害者的iPhone,允許他們安裝惡意應用程序,獲取用戶的實時位置數據,竊取照片和信息,即使這些信息是加密的。谷歌的研究人員說,由於惡意軟體的深度訪問,它甚至可以在信息加密之前獲取用戶聊天信息的內容。惡意植入物可以訪問設備的密鑰鏈,其中包括WhatsApp、Telegram和iMessage等端到端的加密聊天應用所使用的密碼和數據庫文件。

當這些攻擊竊取人們的個人信息時,它們發送的數據沒有加密,這意味著同一Wi-Fi網絡上的任何人都可以看到所有被盜的內容。

報告指出,如果人們重啟iPhone,惡意軟體就會被清除,但如果用戶再次訪問被黑客入侵的網站,惡意軟體就會返回iPhone。此外,即使惡意軟體被清除,黑客通過已經竊取的密碼和獲取的私人信息也可能造成更大的破壞。裡德說,沒有辦法知道你是否受到了影響。

安全研究人員稱,iOS不允許惡意軟體掃描,這可能是導致該入侵隱藏如此之久的原因之一。

裡德說:“iOS的本質是為了保護設備的安全,但在這起案件中,它可能讓黑客攻擊更不容易被發現,對我們不利。”

蘋果對此拒絕置評,但請確保你的iPhone系統已經更新,以防受到這個漏洞的攻擊。(爾夫)

獲得更多的PTT最新消息
按讚加入粉絲團