距離蘋果(Apple)秋季發表會只剩一週,Google資安團隊Project Zero在此時披露了iPhone存在長達兩年的資安漏洞,為蘋果過去強打的隱私牌,蒙上了一層陰影。
根據Google公佈的資訊,只要用戶不小心造訪惡意網站,駭客便能入侵手機,取得照片、地理資訊、私人訊息等隱私內容。
過去一年多來,蘋果時常以隱私為iPhone的賣點,並對疏於保護用戶隱私的企業,如Facebook,祭出強力制裁。
今年1月舉辦的CES展上,蘋果的廣告標語便是「在你iPhone上發生的所有事,都只會留在你的iPhone上」;3月推出廣告中,也宣稱「隱私,那就是iPhone」,企圖創造品牌與隱私間的強力連結。
造訪網站就會中獎,照片、私密通訊全被駭客掌握
在Project Zero團隊發現問題,通報蘋果後,官方已在今年2月發布的iOS 12.1.4版本中完成修復,這也是為何現在Google能夠公開談論這些漏洞的原因。
Google指出,他們總共發現了14種不同的資安漏洞,7個牽扯上iPhone網頁瀏覽器;5個涉及核心(kernel);還有2個與沙盒逃逸(sandbox escape)有關。由於入侵門檻很低,Google估計每週都有數千位iPhone用戶成為這些惡意網站的受害者。
若用戶誤闖惡意網站,導致手機被植入惡意程式的話,駭客將能取得加密通訊服務內的資料,如WhatsApp、Telegram及iMessage等服務都難以倖免。同時惡意程式可以取得iPhone內幾乎所有個人資訊,並傳輸回駭客的伺服器上。
不過,只要重新啟動iPhone,惡意程式就會從手機內消失,除非用戶再次造訪惡意網站,否則不會被數度入侵,再加上蘋果早已完成修復,iPhone用戶目前暫時可以放心。
傳中國政府成漏洞利用者,監控新疆維吾爾族人
讓人難料的是,就在Google公佈漏洞後隔兩天,一連串更重大的問題陸續被各家媒體揭露。
外媒《富比士》指出,中國政府曾利用此漏洞,企圖監控新疆穆斯林的動向,並同時向Android、Windows系統進行攻擊,以針對維吾爾族的釣魚廣告誘使監控目標上當。
且結合消息來源與Google的說法,這個漏洞衍生出的攻擊屬於無差別式,即使訪問網站者並非維吾爾族人,依舊會成為駭客的入侵目標。
Google在今年2月發現這些漏洞,並限時一週要求蘋果改善。然而,Google並未透露任何惡意網站網址,目前沒有人能確定哪些網站成為駭客散布惡意程式的據點。
也因此,中國利用漏洞監控的消息,仍止於消息來源指控的程度,尚未有確鑿的證據。
責任編輯:蕭閔云
資料來源:CNBC、TechCrunch、Forbes
