本文由腾讯数码独家发布
谷歌的Project Zero安全研究人员透露,他们发现几个被黑客入侵的网站多年来一直在人们的iPhone上植入恶意软件。如果人们访问了其中一个网站,他们的信息、照片和位置数据可能会被泄露。该团队在今年早些时候向苹果公司报告了他们的发现,后来,据说该漏洞是在修复FaceTime窃听漏洞的同一次更新中被修复。
“没有目标人群,仅仅访问被黑客入侵的网站就足以让攻击服务器攻击你的设备,如果成功的话,它会在你的手机上安装一个监测植入物。“我们估计,这些网站每周会接待数千名访问者。”
这些攻击是对iPhone漏洞的罕见揭露,iPhone通常被认为是高度安全的设备。苹果公司悬赏100万美元,奖励那些能在其设备上发现关键漏洞的安全研究人员。通常,对iPhone的攻击很难实施,而且通常仅限于国家间谍活动。目前还不清楚这次袭击的幕后主使是谁,竟然仅一次访问就可能危及数百万台设备。
这次黑客攻击并没有利用任何一个单独的漏洞。谷歌的团队发现,它在五个独立的攻击链上使用了14个零日漏洞。这些漏洞从iOS 10运行到目前的iOS 12,这意味着黑客针对iPhone用户的攻击至少持续了两年。当谷歌在今年2月披露该漏洞给苹果时,该公司在不到一周后发布了一个补丁。
这次黑客攻击让攻击者完全控制了受害者的iPhone,允许他们安装恶意应用程序,获取实时位置数据,窃取照片和信息,即使这些信息是加密的。谷歌的研究人员说,由于恶意软件的深度访问,它甚至可以在信息加密之前获取信息内容。植入物可以访问设备的密钥链,其中包括WhatsApp、Telegram和iMessage等端到端加密通讯应用使用的密码和数据库文件。
当攻击窃取人们的个人信息时,他们发送的数据没有加密,这意味着同一Wi-Fi网络上的任何人都可以看到所有被盗内容。
报告指出,如果人们重启iphone,恶意软件就会被清除,但如果他们再次访问被黑客入侵的网站,恶意软件就会返回。
苹果拒绝置评,但请确保你的iPhone已经完全更新,以防这个漏洞攻击你。
领取专属 10元无门槛券
私享最新 技术干货