Google團隊揭iPhone資安漏洞,中國疑藉此監控新疆維吾爾族人

2019.09.03 by
陳建鈞
wichayada suwanachun via shutterstock
就在蘋果秋季發表會一週前,Google資安團隊公佈了存在長達2年的iPhone資安漏洞,並意外牽扯出中國曾利用漏洞企圖監控新疆維吾爾人的消息。

距離蘋果(Apple)秋季發表會只剩一週,Google資安團隊Project Zero在此時披露了iPhone存在長達兩年的資安漏洞,為蘋果過去強打的隱私牌,蒙上了一層陰影。

根據Google公佈的資訊,只要用戶不小心造訪惡意網站,駭客便能入侵手機,取得照片、地理資訊、私人訊息等隱私內容。

過去一年多來,蘋果時常以隱私為iPhone的賣點,並對疏於保護用戶隱私的企業,如Facebook,祭出強力制裁。

今年1月舉辦的CES展上,蘋果的廣告標語便是「在你iPhone上發生的所有事,都只會留在你的iPhone上」;3月推出廣告中,也宣稱「隱私,那就是iPhone」,企圖創造品牌與隱私間的強力連結。

今年3月的廣告中,蘋果以隱私為iPhone的主打,聲稱其擁有優異的隱私安全性。
Apple

造訪網站就會中獎,照片、私密通訊全被駭客掌握

在Project Zero團隊發現問題,通報蘋果後,官方已在今年2月發布的iOS 12.1.4版本中完成修復,這也是為何現在Google能夠公開談論這些漏洞的原因。

Google指出,他們總共發現了14種不同的資安漏洞,7個牽扯上iPhone網頁瀏覽器;5個涉及核心(kernel);還有2個與沙盒逃逸(sandbox escape)有關。由於入侵門檻很低,Google估計每週都有數千位iPhone用戶成為這些惡意網站的受害者。

若用戶誤闖惡意網站,導致手機被植入惡意程式的話,駭客將能取得加密通訊服務內的資料,如WhatsApp、Telegram及iMessage等服務都難以倖免。同時惡意程式可以取得iPhone內幾乎所有個人資訊,並傳輸回駭客的伺服器上。

若被駭客入侵,WhatsApp、Telegram及iMessage等加密通訊服務內的資訊,都有可能被竊取。
shutterstock

不過,只要重新啟動iPhone,惡意程式就會從手機內消失,除非用戶再次造訪惡意網站,否則不會被數度入侵,再加上蘋果早已完成修復,iPhone用戶目前暫時可以放心。

傳中國政府成漏洞利用者,監控新疆維吾爾族人

讓人難料的是,就在Google公佈漏洞後隔兩天,一連串更重大的問題陸續被各家媒體揭露。

外媒《富比士》指出,中國政府曾利用此漏洞,企圖監控新疆穆斯林的動向,並同時向Android、Windows系統進行攻擊,以針對維吾爾族的釣魚廣告誘使監控目標上當。

中國曾在新疆建立「平安城市」監控系統,也讓本次爆出的消息增添幾分關注。
shutterstock

且結合消息來源與Google的說法,這個漏洞衍生出的攻擊屬於無差別式,即使訪問網站者並非維吾爾族人,依舊會成為駭客的入侵目標。

Google在今年2月發現這些漏洞,並限時一週要求蘋果改善。然而,Google並未透露任何惡意網站網址,目前沒有人能確定哪些網站成為駭客散布惡意程式的據點。

也因此,中國利用漏洞監控的消息,仍止於消息來源指控的程度,尚未有確鑿的證據。

責任編輯:蕭閔云
資料來源:CNBCTechCrunchForbes

延伸閱讀

每日精選科技圈重要消息