Google 的 Project Zero 團隊日前刊文稱,自己之前找到了一批會被駭客用來透過網頁實現 zero-day 攻擊竊取 iPhone 用戶資料的漏洞。基於這批漏洞的攻擊甚至不需要使用者在自己的裝置上進行輸入,他們只要點開了有問題的網頁,手上的機器便會面臨被侵入的風險。而在順利攻破裝置後,駭客便可透過植入惡意軟體的方式盜取諸如照片、iMessage 訊息、GPS 即時定位等敏感數據。
根據 Motherboard 的報導,這種攻擊方式還能以使用者的 keychain 和相關密碼為目標,甚至說 Telegram、WhatsApp 這類端到端加密 IM 軟體的數據庫都可能被攻陷。Google 的 Project Zero 團隊最終發現的漏洞總數為 14 個,系統版本包括在 iOS 10 到 iOS 12.1.2 之間的 iPhone 都有被攻擊的潛在風險。
相對來說還算值得慶幸的一點是,這類攻擊植入的惡意軟體在手機重開機後便會消失。而且 Google 在發現漏洞後,已經於 2 月 1 日時便將情況告知了 Apple,後者在 2 月 7 日上線的 iOS 12.1.4 中已經將漏洞堵上了。 |
