馬上註冊,結交更多好友,享用更多功能,讓你輕鬆玩轉社區。
您需要 登錄 才可以下載或查看,沒有賬號?註冊
x
Google旗下安全團隊Project Zero研究人員發現一系列遭駭客入侵的網站,這些網站主要會針對iPhone用戶發送惡意軟體,每周可能多達數千次,且可以運行多年。據外媒報導,這「可能是有史以來針對iPhone用戶的最大一起攻擊事件之一」,不過目前蘋果已修復相關漏洞。
Project Zero及其研究人員比爾(Ian Beer)周四(29日)在官方部落格發布文章指出,今年初Google的反間諜威脅分析小組(Threat Analysis Group,TAG)發現一小部分遭駭客入侵的網站,這些網站會針對到訪用戶無差別地進行水坑攻擊(Watering Hole)。用戶僅需造訪該網站即會遭伺服器攻擊,若成功擊破,用戶設備將被植入監控系統。Project Zero估計,這些遭駭客入侵的網站,每周皆有千人左右的造訪量。
TAG收集到5個完整且獨立的iPhone漏洞利用鏈,其涵蓋作業系統囊括iOS 10至最新版本的iOS 12,這意味著,這個駭客團隊的攻擊情況至少已長達2年之久。從這5個漏洞利用鏈中,TAG發現到14個針對漏洞的攻擊,其中7個用於iPhone的Web瀏覽器、5個用於攻擊核心,另有2個不同的沙箱逃逸(sandbox escape)漏洞。
Project Zero已於今年的2月1日向蘋果反映這個問題,蘋果則在2月7日發布的iOS 12.1.4安全更新修復上述漏洞。換言之,用戶只要升級了iOS,將不受影響。
據國外科技網站VICE的報導,一但駭客成功攻擊用戶的iPhone,即可將惡意軟體部署至該設備上。比爾指出,「植入的惡意軟體主要集中在竊取文件和上傳即時位置資訊,通常每60秒會傳送一次。」
除此之外,植入的惡意軟體也會從取用戶的鑰匙圈(Keychain),其中包含了用戶的帳號密碼及各種端到端(End-to-End)加密訊息應用程式的數據庫,如Telegram、WhatsApp及iMessage。雖然端到端的加密可保護訊息在遭截獲時不被讀取,但若駭客已破壞終端設備本身,則沒有用。不過比爾也解釋道,這種植入無法持續很久,若用戶重啟手機即可將其消除。 過去的攻擊通常會在本質上更具針對性,僅針對個體發送文本消息,導引其點擊惡意網站,如今這種攻擊則有範圍擴大的可能。比爾表示,「用戶往往會根據設備的安全性做出相應的風險決策,但事實上,如果你成為攻擊目標,安全保護絕不會消除攻擊風險。」
原文網址:https://www.ettoday.net/news/20190830/1524947.htm#ixzz5y6Hw86Pg
| 
狗仔卡
發表於 2019-8-30 23:56:51
提升卡
沉默卡
喧囂卡
變色卡