• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:1112

Google 資安研究團隊 Project Zero 揭發史上為期最長、受害範圍最大的 iPhone 駭侵事件；駭侵行動長達兩年時間，受害人數難以估計。

駭侵者係利用 iOS 長期未被發現的 0-day 漏洞，在數個網站中放置惡意程式碼；只要以 iPhone 瀏覽這些網站，就會被植入惡意軟體；用戶在 iPhone 上進行的通訊活動，以及行事曆、相片、密碼、手機所在位置的即時座標等個資都會遭竊。

據 Google 指出，這些被置入惡意程式碼的網站，每周都有數千個訪客。

雖然 Google 並未指出是哪些網站放置惡意程式碼，也沒有指名駭侵者或其目標，但據 TechCrunch 報導，熟知內情人士認為這是由中國支持的駭侵團體，以維吾爾穆斯林人士為目標的駭侵行動。

受這個 0-day 漏洞影響的 iOS 版本，自 iOS 10 一直到 iOS 12；Google 於二月通報 Apple 這個發現，Apple 隨即在二月發行的 iOS 12.1.4 更新中修補了這個嚴重漏洞。

富比士雜誌也指出，這些網站不只攻擊 iPhone，也存有針對 Android 和 Windows 系統的惡意程式碼。