来源: 时间:2022-12-10 12:35:06
谷歌的安全研究人员是该公司零项目团队的一员,他们表示,他们发现了各种被黑客入侵的网站,多年来,这些网站已经在访问过他们的用户的iphone上安装了恶意软件。访问过这些网站中的任何一个的iphone用户,很可能会泄露他们的数据,包括他们的消息、照片和位置。
根据Google的project Zero团队最近的博客文章,他们已于今年早些时候向Apple报告了他们对安全漏洞的发现,该漏洞已在Apple于2月发布的iOS 12.1.4更新中进行了修补。苹果还在其支持页面上发布了详细信息,这是它对所有与安全相关的更新所做的事情。
根据Google的博客,没有特定的目标歧视,仅访问被黑客入侵的网站就足以使漏洞利用服务器攻击iphone设备。它进一步补充说,一旦成功,它将在设备上安装监视植入物。project Zero的调查结果细节由Google project Zero的Ian Beer发布。“我们估计这些网站每周接待数千名访问者,” 他在博客中写道。
根据该博客,威胁分析小组 (TAG) 的Google研究人员能够收集到五个独立的,完整的和独特的iphone漏洞利用链,几乎涵盖了从iOS 10到最新版本的iOS 12的每个版本。这表明,一个组织正在持续努力在至少两年的时间内入侵某些社区的iphone用户。
“我不会讨论这些漏洞的成本是100万美元、200万美元还是2000万美元。相反,我建议所有这些价格标签对于实时定位和监视整个人群的私人活动的能力似乎都很低,”Beer写道。
尽管在iphone上很少有恶意软件攻击,但通常认为这是完全安全的。过去,苹果还向安全研究人员提供了高达100万美元的价格,用于查找iOS设备上的漏洞。尚不清楚谁是此类恶意软件攻击的幕后黑手,仅通过访问被黑客入侵的网站就可以触发这种恶意软件攻击。
该博客还提供了有关inpidual漏洞的详细信息。它提到了黑客如何让攻击者完全控制iphone。它将允许攻击者安装恶意应用程序,实时获取位置详细信息并窃取照片和消息,即使它们已加密。由于恶意软件具有深层访问权限,因此即使在加密消息之前,它也可以获取消息的详细信息。
当这些攻击窃取了iphone用户的个人信息时,他们在没有任何加密的情况下将其发送出去,这意味着在同一wi-fi网络上的任何人也可能看到被盗的内容。CNET在一份报告中说,如果iphone重新启动并在用户再次访问任何被黑客入侵的网站后立即返回,则该恶意软件将被清除。
即使恶意软件被清除,攻击者也可能借助先前从恶意软件获得的被盗密码和消息造成进一步的损害。
另外,ReadGoogle的project Zero安全研究人员在Apple的iOS上发现了6个安全漏洞
iOS不允许在其设备上进行恶意软件扫描,这可能导致该恶意软件被隐藏了很长时间,CNET报告补充说。
相关推荐
猜你喜欢
