谷歌研究人员公布了多年来针对iPhone用户的恶意网站漏洞

今天,一份来自Vice的报告详细介绍了“Google Project Zero“研究人员发现的针对iPhone用户的大规模攻击。攻击的基础是一系列被黑客攻破的网站,通过这些网站可以随意地向 iPhone 用户分发恶意软件。

在一篇博文中,Google Project Zero的伊恩·比尔解释说,攻击没有目标区分。用户可能会因为仅仅访问一个被黑客攻击的网站而受到攻击,据说这些网站每周收到数千次浏览。

谷歌的威胁分析小组通过iOS 12的所有版本检测到一组五个独立和完整的iPhone漏洞利用链,这些漏洞链影响iOS 10到iOS 12的所有版本。比尔写道:”这表明,一个团体在至少两年的时间里,持续努力在特定社区中攻击iPhone的用户。

一旦用户访问其中一个恶意网站并被部署了恶意软件,恶意软件”主要侧重于窃取文件和上传实时位置数据”,恶意软件每隔 60 秒上传一次用户数据。由于终端设备本身已遭到破坏,iMessage 等服务也受到影响。

通过与TAG合作,我们发现了五个漏洞链中总共14个可以利用的漏洞:7个用于iPhone的网络浏览器,5个用于内核,2个用于绕过沙盒。初步分析表明,至少有一个特权升级链是新发现的且未修补。

比尔说, Project Zero 在2019年2月1日以7天的最后期限向苹果公司报告了这些问题,苹果公司在 2019年2月9日发布的iOS 12.1.4中进行了修复。

这种攻击链是独一无二的,因为许多攻击在范围上更有针对性,但此攻击影响了碰巧访问受感染网站之一的任何人。

在谷歌的”Project Zero”博客上,可以读到对iOS漏洞链的令人难以置信的详细分析。在这里,比尔详细介绍了Apple在 iOS 12.1.4中进行的安全修复,其中包括对 FaceTime 窃听错误的修复程序,以及Project Zero团队发现的安全问题。