研究人员从 谷歌的 Project Zero 中 发现,针对的用户操作的一个威胁竞选苹果 iOS 设备为两年。
今年早些时候,谷歌的威胁分析小组(TAG)发现,使用 iPhone 零日攻击的一小部分被黑网站被用来对游客进行不分青红皂白的水坑攻击。
受害者只是通过访问一个被黑网站被诱捕,估计每周吸引数千名访客。仅此简单操作就足以无意中触发漏洞利用服务器尝试在用户设备上安装监控植入。
黑客利用 iPhone 软件中的漏洞悄悄接管受害者的设备并访问用户的联系信息,媒体文件和 GPS 位置,以及来自 Instagram, WhatsApp, Telegram 和 Gmail 的数据。
TAG 收集了五个独立,完整且独特的 iPhone 漏洞利用链,涵盖从 iOS 10 到最新版本 iOS 12 的大多数设备版本。
Project Zero 的 Ian Beer 说:“这表明一个团体在至少两年的时间内不断努力攻击某些社区的 iPhone 用户。”
他接着说,对漏洞根源的调查显示,代码似乎从未正常工作,错过了质量保证检查,或者“在发送给用户之前很可能没有进行任何测试或审查”。
TAG 发现了 14 种不同的软件缺陷,其中 7 种影响了 iPhone 的 Safari 网络浏览器。该小组于 2019 年 2 月 1 日向 Apple 报告了七天截止日期的问题,导致了 2019 年 2 月 7 日 iOS 12.1.4 的带外发布。
在对调查结果进行总结之后,Beer 警告用户要明智地应对网络攻击的真正威胁,并考虑他们不断向设备投放的数据可能会在某一天结束。
他说:“现实仍然是,如果你成为攻击目标,安全保护绝不会消除攻击风险。
“用户可以做的就是意识到大规模开发仍然存在并且相应地表现;将他们的移动设备视为现代生活中不可或缺的一部分,同时也将其视为受到损害的设备,可以将他们的每个动作上传到数据库中可能被用来对付他们。“