Google 幫 iPhone 找到了一批已被利用多年的網頁竊取資料漏洞

annan5168

Google 的 Project Zero 團隊日前刊文稱，自己之前找到了一批會被駭客用來透過網頁實現 zero-day 攻擊竊取 iPhone 用戶資料的漏洞。基於這批漏洞的攻擊甚至不需要使用者在自己的裝置上進行輸入，他們只要點開了有問題的網頁，手上的機器便會面臨被侵入的風險。而在順利攻破裝置後，駭客便可透過植入惡意軟體的方式盜取諸如照片、iMessage 訊息、GPS 即時定位等敏感數據。


根據 Motherboard 的報導，這種攻擊方式還能以使用者的 keychain 和相關密碼為目標，甚至說 Telegram、WhatsApp 這類端到端加密 IM 軟體的數據庫都可能被攻陷。Google 的 Project Zero 團隊最終發現的漏洞總數為 14 個，系統版本包括在 iOS 10 到 iOS 12.1.2 之間的 iPhone 都有被攻擊的潛在風險。


相對來說還算值得慶幸的一點是，這類攻擊植入的惡意軟體在手機重開機後便會消失。而且 Google 在發現漏洞後，已經於 2 月 1 日時便將情況告知了 Apple，後者在 2 月 7 日上線的 iOS 12.1.4 中已經將漏洞堵上了。