Google發現許多惡意網站多年來持續攻擊iPhone

根據Google的安全研究人員表示，他們在網路上發現了許多惡意網站，通過一系列從未公開過的iOS漏洞，針對iPhone進行攻擊，甚至有可能被植入關注工具或破解存儲於設備中的密碼。

Google的安全團隊Project Zero近日發布一篇深度博客文章指出，網路上有許多針對iOS設備而來的惡意網站，每天被不知情的用戶們瀏覽了數千次，他們將之稱為「不分青紅皂白」的攻擊。

Project Zero研究員Ian Beer表示，只要用戶瀏覽了這些惡意網站，就足以讓伺服器攻擊自己手上的設備，要是不幸成功利用了漏洞，黑客就可以植入監控程序。

Ian Beer也說，惡意網站攻擊iPhone設備的行為，已經至少長達兩年。Project Zero發現了至少五種不同的攻擊流程，包含了12個獨立漏洞，其中7個與iOS內置瀏覽器Safari有關。

這五個截然不同的攻擊流程，都允許讓惡意程序接觸到設備的「root」最高許可權，使攻擊者得以操作設備的全部功能，這意味著黑客可以在用戶不知情或不同意的情況下，悄悄地安裝惡意應用程序，藉以監視iPhone所有者。

Google更進一步指出，根據他們的分析，這些遭受利用的漏洞，還可以被用來竊取用戶的照片和消息，甚至是攻破設備上存儲密碼的空間。

Project Zero將漏洞提交給Apple後，大約一周Apple即發布了iOS 12.1.4更新，修復了這些漏洞。但Ian Beer也表示，其他相關的黑客活動仍在進行其中。

有趣的是，根據Apple對於漏洞回應的獎勵規則，這種能夠忽略與用戶進行交互，就取得最高許可權的重大安全性問題，將可以讓Google得到數百萬美元的獎金。

目前Apple尚未對此發布評論。

來源：The Verge

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！