作者kyle5241 (Kyle Korver)
看板MobileComm
标题[新闻]Google保安专家:iPhone漏洞遭入侵至少两年
时间Sun Sep 1 14:15:51 2019
https://tinyurl.com/yxaurtkh
Google保安专家:iPhone漏洞遭入侵至少两年
【明报专讯】Google保安专家发现苹果iPhone在过去至少两年遭黑客攻击,黑客先入侵个
别网站,然後在浏览该网站的iPhone内无差别地安装恶意软件,收集联络人以至其他通讯
应用程式的数据。分析估计这些陷阱网站每周有逾千流量,美国媒体《VICE》形容事件「
或是针对iPhone用户的最大型攻击」。目前苹果已在iOS 12.4.1修复漏洞。
Google的Project Zero团队专门研究「零日漏洞」(zero-day),即尚未有修复程式的网
络安全漏洞。他们今年2月向苹果通报有关问题,苹果亦於6日内在iOS 12.4.1修复漏洞。
团队成员比尔(Ian Beer)周四(29日)发表网志解释,iPhone用户只要访问任何一个遭
黑客入侵的网站,其伺服器便会在iPhone上安装监控程式。该程式能收集手机内联络人、
图片、GPS位置等数据,每60秒传送到特定外部伺服器。虽然通讯应用程式的端对端加密
能确保第三方截取信息时无法读取内容,惟通信的手机本身已遭黑客入侵,监控程式能直
接从用户正开启的Instagram、WhatsApp及Telegram等获取资料。
14项安全漏洞 多涉Safari
今次攻击共涉及iPhone内14项安全漏洞,大多数与预设的浏览器Safari有关,并几乎涵盖
iOS 10至12 所有版本,意味情况已至少持续两年。
不过,比尔亦指出,只要重新启动iPhone即能消除该恶意软件。他未有推测幕後黑手,或
有关漏洞在黑市上的价值。某些「零日漏洞」能在黑市以数百万美元出售,直至有关公司
推出修复方法。
https://www.inside.com.tw/article/17391-google-iphone-secretly-hacked
iPhone 最安全?Google:iPhone 早已被恶意网站入侵多年
以为拿 iPhone 就不用担心资安吗?Google 资安研究员发现,有不少恶意网站透过尚未
公开的软体漏洞悄悄入侵 iPhone,目前已有不知情受害者造访这些恶意网站数千次,时
间至少长达两年。
根据 TechCrunch 报导,Google 资安团队 Project Zero 日前发布一篇文章,指出骇客
先入侵这些网站,之後当 iPhone 使用者造访这些网站时,就会发送恶意软体,甚至在手
机里植入监控程式。
研究人员发现 5 个不同的漏洞利用链(exploit chain),从 iOS 10 到 iOS 12 版本都
有,这些利用链涉及了 12 种不同的安全漏洞。其中,有 7 个安全漏洞与 iPhone 内建
的网页浏览器 Safari 有关。
这 5 个攻击链让骇客拥有 iPhone 设备最高等级的「Root」权限,代表骇客可以在使用
者不知情、甚至不同意的情况下,悄悄在手机里安装恶意程式,并监视使用者的手机行为
。
他们可以做什麽事呢?骇客可以窃取使用者手机里的照片和讯息、跟踪手机目前的即时定
位资讯,甚至还能获取使用者在手机上储存的各个密码。
但果粉们也别担心,Google 资安团队 Project Zero 早在 2019 年 2 月向苹果报告此资
安漏洞,苹果也立刻紧急修复漏洞并发布最新系统版本 iOS 12.1.4,如果 iPhone 使用
者有更新系统,就不需担心资安问题。
但需注意的是,当 Project Zero 告知苹果安全漏洞问题时,仅给他们短短一周时间修复
,代表这项资安漏洞十分严重,导致团队不得不要求苹果加快修复时程。而截至目前为止
,苹果发言人拒绝针对此事发表任何评论。
心得:
今年苹果安全性出的包真多~
原来我们的手机都被别人监控2年多了
再来就是12.3修好的漏洞
竟然在12.4重新开放
导致越狱也在12.4重新开放~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 131.215.107.226 (美国)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1567318554.A.08C.html
1F:推 nitvx : 明星的自拍影片快流出吧 09/01 14:24
2F:推 fp737 : 迷: XX不可信 09/01 14:44
3F:推 plzza0cats : 果粉:造谣 09/01 14:45
4F:→ motomotto : 对那些粉而言 即使被看光光也比华为安全XDD 09/01 14:48
5F:推 YIHE : +1还是安卓安全,不补就没有漏洞问题! 09/01 15:03
6F:→ chunyulai : 只有我看不懂5楼说什麽吗? 09/01 15:04
7F:→ wantsu : 这跟你前一篇PO的不是同一件事吗? 09/01 15:19
9F:推 JH10 : 每个系统都有漏洞啦,几年前苹果云端一堆照片大量 09/01 15:24
10F:→ JH10 : 外流,还有安桌简讯攻击事件,有找出来修复不就好 09/01 15:24
11F:→ JH10 : 了,又不是明明有漏洞说没有,到底在吵什麽? 09/01 15:24
12F:推 selvester : 都有漏洞啊 看使用者基数 人少攻击没意义 例如meego 09/01 15:30
13F:→ selvester : 有人要攻击吗? 所以iPhone使用者没这麽多时 都洗脑 09/01 15:30
14F:→ selvester : 苹果很安全… 帮QQ使用者习惯最危险的族群 迷妹潮男 09/01 15:30
15F:嘘 Asbtt : 卓卓很安全。嘻嘻。 09/01 17:16
16F:推 banbanzon : google play里面恶意app不也一堆?还好意思嘴ios? 09/01 18:09
17F:推 jaannddyy : 苹果好危险 结果中毒的都是安卓和windows 09/01 18:41
18F:推 sony1733 : 系统一定会有漏洞阿 09/01 21:41
19F:→ sony1733 : 最重要的是在爆出来之後 能不能尽最快速度修补 09/01 21:43
20F:→ sony1733 : 华为的问题就是他背後是中国 09/01 21:43
21F:→ sony1733 : 苹果严谨性好一点是因为掌控度都在苹果 09/01 21:45
22F:→ sony1733 : google也在缩紧规范了 09/01 21:46
23F:→ sony1733 : 我就不知道两个阵营是在吵什麽吵 09/01 21:47
24F:→ chunyulai : 云上贵州表示: 09/01 21:57
25F:嘘 darkMood : 干,一堆智障,活在母体还在讲资安 09/01 22:31
26F:→ darkMood : 人类就是因为无知才快乐活着,脑残google工程师 09/01 22:31
27F:→ kouta : 还有人在云上贵州 笑死XD 09/01 23:16
28F:推 steve1012 : 看隔壁版一堆喊不更新的 漏洞补了有用吗 没更新又没 09/01 23:33
29F:→ steve1012 : 补到 09/01 23:33
30F:推 sony1733 : 不更新 自己被入侵被盗帐号 就不要怪apple google阿 09/02 00:26
31F:→ BIGETC : dont care 09/02 13:31