先入侵网站等用户浏览盗资料·专家揭iPhone遭骇2年
(华盛顿31日综合电)Google保安专家发现苹果iPhone在过去至少两年遭骇客攻击,骇客先入侵个别网站,然后在浏览该网站的iPhone内无差别地安装恶意软件,收集联络人以至其他通讯应用程式的数据。
分析估计这些陷阱网站每周有逾千流量,美国媒体《VICE》形容事件“或是针对iPhone用户的最大型攻击”。目前苹果已在iOS 12.4.1修复漏洞。
是对iPhone最大型攻击
Google的Project Zero团队专门研究“零日漏洞”(zero-day),即尚未有修复程式的网络安全漏洞。他们今年2月向苹果通报有关问题,苹果亦于6日内在iOS 12.4.1修复漏洞。
团队成员比尔周四(29日)发表网志解释,iPhone用户只要访问任何一个遭骇客入侵的网站,其伺服器便会在iPhone上安装监控程式。该程式能收集手机内联络人、图片、GPS位置等数据,每60秒传送到特定外部伺服器。虽然通讯应用程式的端对端加密能确保第三方截取信息时无法读取内容,惟通信的手机本身已遭骇客入侵,监控程式能直接从用户正开启的Instagram、WhatsApp及Telegram等获取资料。
苹果已修复漏洞
今次攻击共涉及iPhone内14项安全漏洞,大多数与预设的浏览器Safari有关,并几乎涵盖iOS 10至12所有版本,意味情况已至少持续两年。
不过,比尔亦指出,只要重新启动iPhone即能消除该恶意软件。他未有推测幕后黑手,或有关漏洞在黑市上的价值。某些“零日漏洞”能在黑市以数百万美元出售,直至有关公司推出修复方法。
热门话题:
更多新闻