Google 資安研究團隊揭發史上最大 iPhone 駭侵事件

Google 資安研究團隊 Project Zero 揭發史上為期最長、受害範圍最大的 iPhone 駭侵事件;駭侵行動長達兩年時間,受害人數難以估計。

駭侵者係利用 iOS 長期未被發現的 0-day 漏洞,在數個網站中放置惡意程式碼;只要以 iPhone 瀏覽這些網站,就會被植入惡意軟體;用戶在 iPhone 上進行的通訊活動,以及行事曆、相片、密碼、手機所在位置的即時座標等個資都會遭竊。

據 Google 指出,這些被置入惡意程式碼的網站,每周都有數千個訪客。

雖然 Google 並未指出是哪些網站放置惡意程式碼,也沒有指名駭侵者或其目標,但據 TechCrunch 報導,熟知內情人士認為這是由中國支持的駭侵團體,以維吾爾穆斯林人士為目標的駭侵行動。

受這個 0-day 漏洞影響的 iOS 版本,自 iOS 10 一直到 iOS 12;Google 於二月通報 Apple 這個發現,Apple 隨即在二月發行的 iOS 12.1.4 更新中修補了這個嚴重漏洞。

富比士雜誌也指出,這些網站不只攻擊 iPhone,也存有針對 Android 和 Windows 系統的惡意程式碼。

  • 攻擊手法:於網站中安插攻擊用的惡意程式碼。
  • 關鍵字:iOS, 0-day
  • 資料來源:
  1. https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
  2. https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
  3. https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#2adac7224adf

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *