根据Google的安全研究人员表示,他们在网络上发现了许多恶意网站,通过一系列从未公开过的iOS漏洞,针对iPhone进行攻击,甚至有可能被植入关注工具或破解存储于设备中的密码。
Google的安全团队Project Zero近日发布一篇深度博客文章指出,网络上有许多针对iOS设备而来的恶意网站,每天被不知情的用户们浏览了数千次,他们将之称为“不分青红皂白”的攻击。
Project Zero研究员Ian Beer表示,只要用户浏览了这些恶意网站,就足以让服务器攻击自己手上的设备,要是不幸成功利用了漏洞,黑客就可以植入监控程序。
Ian Beer也说,恶意网站攻击iPhone设备的行为,已经至少长达两年。Project Zero发现了至少五种不同的攻击流程,包含了12个独立漏洞,其中7个与iOS内置浏览器Safari有关。
这五个截然不同的攻击流程,都允许让恶意程序接触到设备的“root”最高权限,使攻击者得以操作设备的全部功能,这意味着黑客可以在用户不知情或不同意的情况下,悄悄地安装恶意应用程序,借以监视iPhone所有者。
Google更进一步指出,根据他们的分析,这些遭受利用的漏洞,还可以被用来窃取用户的照片和消息,甚至是攻破设备上存储密码的空间。
Project Zero将漏洞提交给Apple后,大约一周Apple即发布了iOS 12.1.4更新,修复了这些漏洞。但Ian Beer也表示,其他相关的黑客活动仍在进行其中。
有趣的是,根据Apple对于漏洞回应的奖励规则,这种能够忽略与用户进行交互,就取得最高权限的重大安全性问题,将可以让Google得到数百万美元的奖金。
目前Apple尚未对此发布评论。
来源:The Verge