Google發現許多惡意網站多年來持續攻擊iPhone
根據Google的安全研究人員表示,他們在網路上發現了許多惡意網站,通過一系列從未公開過的iOS漏洞,針對iPhone進行攻擊,甚至有可能被植入關注工具或破解存儲於設備中的密碼。
Google的安全團隊Project Zero近日發布一篇深度博客文章指出,網路上有許多針對iOS設備而來的惡意網站,每天被不知情的用戶們瀏覽了數千次,他們將之稱為「不分青紅皂白」的攻擊。
Project Zero研究員Ian Beer表示,只要用戶瀏覽了這些惡意網站,就足以讓伺服器攻擊自己手上的設備,要是不幸成功利用了漏洞,黑客就可以植入監控程序。
Ian Beer也說,惡意網站攻擊iPhone設備的行為,已經至少長達兩年。Project Zero發現了至少五種不同的攻擊流程,包含了12個獨立漏洞,其中7個與iOS內置瀏覽器Safari有關。
這五個截然不同的攻擊流程,都允許讓惡意程序接觸到設備的「root」最高許可權,使攻擊者得以操作設備的全部功能,這意味著黑客可以在用戶不知情或不同意的情況下,悄悄地安裝惡意應用程序,藉以監視iPhone所有者。
Google更進一步指出,根據他們的分析,這些遭受利用的漏洞,還可以被用來竊取用戶的照片和消息,甚至是攻破設備上存儲密碼的空間。
Project Zero將漏洞提交給Apple後,大約一周Apple即發布了iOS 12.1.4更新,修復了這些漏洞。但Ian Beer也表示,其他相關的黑客活動仍在進行其中。
有趣的是,根據Apple對於漏洞回應的獎勵規則,這種能夠忽略與用戶進行交互,就取得最高許可權的重大安全性問題,將可以讓Google得到數百萬美元的獎金。
目前Apple尚未對此發布評論。
來源:The Verge
TAG:十輪網 |