谷歌研究人员披露多年来针对iPhone用户的恶意网站漏洞

今天，一份来自Vice的报告详细介绍了“Google Project Zero“研究人员发现的针对iPhone用户的大规模攻击。攻击的基础是一系列被黑客攻破的网站，通过这些网站可以随意地向 iPhone 用户分发恶意软件。

在一篇博文中，Google Project Zero的伊恩·比尔解释说，攻击没有目标区分。用户可能会因为仅仅访问一个被黑客攻击的网站而受到攻击，据说这些网站每周收到数千次浏览。

谷歌的威胁分析小组通过iOS 12的所有版本检测到一组五个独立和完整的iPhone漏洞利用链，这些漏洞链影响iOS 10到iOS 12的所有版本。比尔写道：”这表明，一个团体在至少两年的时间里，持续努力在特定社区中攻击iPhone的用户。

一旦用户访问其中一个恶意网站并被部署了恶意软件，恶意软件”主要侧重于窃取文件和上传实时位置数据”，恶意软件每隔 60 秒上传一次用户数据。由于终端设备本身已遭到破坏，iMessage 等服务也受到影响。

通过与TAG合作，我们发现了五个漏洞链中总共14个可以利用的漏洞：7个用于iPhone的网络浏览器，5个用于内核，2个用于绕过沙盒。初步分析表明，至少有一个特权升级链是新发现的且未修补。

比尔说， Project Zero 在2019年2月1日以7天的最后期限向苹果公司报告了这些问题，苹果公司在 2019年2月9日发布的iOS 12.1.4中进行了修复。

这种攻击链是独一无二的，因为许多攻击在范围上更有针对性，但此攻击影响了碰巧访问受感染网站之一的任何人。

在谷歌的”Project Zero”博客上，可以读到对iOS漏洞链的令人难以置信的详细分析。在这里，比尔详细介绍了Apple在 iOS 12.1.4中进行的安全修复，其中包括对 FaceTime 窃听错误的修复程序，以及Project Zero团队发现的安全问题。

文章来源：Techcrunch