Google 資安研究團隊揭發史上最大 iPhone 駭侵事件
- 發布單位:TWCERT/CC
- 更新日期:2020-05-20
- 點閱次數:1245
Google 資安研究團隊 Project Zero 揭發史上為期最長、受害範圍最大的 iPhone 駭侵事件;駭侵行動長達兩年時間,受害人數難以估計。
駭侵者係利用 iOS 長期未被發現的 0-day 漏洞,在數個網站中放置惡意程式碼;只要以 iPhone 瀏覽這些網站,就會被植入惡意軟體;用戶在 iPhone 上進行的通訊活動,以及行事曆、相片、密碼、手機所在位置的即時座標等個資都會遭竊。
據 Google 指出,這些被置入惡意程式碼的網站,每周都有數千個訪客。
雖然 Google 並未指出是哪些網站放置惡意程式碼,也沒有指名駭侵者或其目標,但據 TechCrunch 報導,熟知內情人士認為這是由中國支持的駭侵團體,以維吾爾穆斯林人士為目標的駭侵行動。
受這個 0-day 漏洞影響的 iOS 版本,自 iOS 10 一直到 iOS 12;Google 於二月通報 Apple 這個發現,Apple 隨即在二月發行的 iOS 12.1.4 更新中修補了這個嚴重漏洞。
富比士雜誌也指出,這些網站不只攻擊 iPhone,也存有針對 Android 和 Windows 系統的惡意程式碼。