在被人吹捧为可能是iPhone用户遭受的最大攻击之一的事件中,谷歌透露,一系列网站被黑客攻击,将恶意软件传递到iPhone上,其中涉及的iOS漏洞多年来一直未经检查和未被发现 - 以及随后的攻击。
这些黑客将零互动恶意软件安装到未命名的网站中,每周都有数千名访问者访问。只需访问这些网站,无需点击或滚动,就可以在用户的iPhone上提供监控植入。
谷歌证明植入物可以“实时窃取iMessages,照片和GPS位置等私人数据”; 它还可以访问用户的钥匙串和密码数据,以及包含在Google Hangouts等消息应用程序中发送和接收的消息的明文的数据库文件,甚至是包括WhatsApp,iMessage和Telegram在内的端到端加密应用程序。
如果iPhone重新启动,恶意软件将被擦除,但在感染期间获得的任何敏感信息仍然可能使设备,其用户和他们的在线生活容易受到攻击。
虽然网站的选择似乎是针对某些社区的,但攻击却是不分青红皂白的。
Google的安全研究计划Project Zero发布了一篇“ 深度探讨 ”,详细介绍了这些漏洞,威胁分析小组在2019年2月向Apple发现并披露了这些漏洞。
该团队使用14个漏洞找到了五个“独立,完整且独特”的漏洞利用链。有几个是零天,这意味着Apple在Project Zero的发现时并没有意识到它们; Apple在iOS 12.1.4的7天期限内修补了这些内容,同样是2月7日的更新修复了臭名昭着的Group FaceTime漏洞。
这些漏洞可以追溯到iOS 10和iOS 12.1.2的更新,包含该时间范围内的“几乎每个版本”。
这是Google团队的一个巨大发现。这些网站的归属对于了解它们可能产生的影响至关重要。https://t.co/MNFW7SakQU- Alex Stamos(@alexstamos)2019年8月30日
在过去一年中,发现的苹果漏洞数量似乎大幅增加。7月底,Project Zero发布了六个可以通过iMessage利用的零交互安全漏洞,其中只有五个Apple在Google团队发布之前就设法修补了。在8月,有关SQLite漏洞的消息爆发,正如DEFCON 2019使用iOS Contacts应用程序所证明的那样,以及影响每个iPhone和iPad的基于蓝牙的“KNOB”攻击的漏洞。
Mashable已与Apple联系以征求意见。