https://tinyurl.com/yxaurtkh Google保安專家：iPhone漏洞遭入侵至少兩年 【明報專訊】Google保安專家發現蘋果iPhone在過去至少兩年遭黑客攻擊，黑客先入侵個 別網站，然後在瀏覽該網站的iPhone內無差別地安裝惡意軟件，收集聯絡人以至其他通訊 應用程式的數據。分析估計這些陷阱網站每周有逾千流量，美國媒體《VICE》形容事件「 或是針對iPhone用戶的最大型攻擊」。目前蘋果已在iOS 12.4.1修復漏洞。 Google的Project Zero團隊專門研究「零日漏洞」（zero-day），即尚未有修復程式的網 絡安全漏洞。他們今年2月向蘋果通報有關問題，蘋果亦於6日內在iOS 12.4.1修復漏洞。 團隊成員比爾（Ian Beer）周四（29日）發表網誌解釋，iPhone用戶只要訪問任何一個遭 黑客入侵的網站，其伺服器便會在iPhone上安裝監控程式。該程式能收集手機內聯絡人、 圖片、GPS位置等數據，每60秒傳送到特定外部伺服器。雖然通訊應用程式的端對端加密 能確保第三方截取信息時無法讀取內容，惟通信的手機本身已遭黑客入侵，監控程式能直 接從用戶正開啟的Instagram、WhatsApp及Telegram等獲取資料。 14項安全漏洞 多涉Safari 今次攻擊共涉及iPhone內14項安全漏洞，大多數與預設的瀏覽器Safari有關，並幾乎涵蓋 iOS 10至12 所有版本，意味情况已至少持續兩年。 不過，比爾亦指出，只要重新啟動iPhone即能消除該惡意軟件。他未有推測幕後黑手，或 有關漏洞在黑市上的價值。某些「零日漏洞」能在黑市以數百萬美元出售，直至有關公司 推出修復方法。 https://www.inside.com.tw/article/17391-google-iphone-secretly-hacked iPhone 最安全？Google：iPhone 早已被惡意網站入侵多年 以為拿 iPhone 就不用擔心資安嗎？Google 資安研究員發現，有不少惡意網站透過尚未 公開的軟體漏洞悄悄入侵 iPhone，目前已有不知情受害者造訪這些惡意網站數千次，時 間至少長達兩年。 根據 TechCrunch 報導，Google 資安團隊 Project Zero 日前發佈一篇文章，指出駭客 先入侵這些網站，之後當 iPhone 使用者造訪這些網站時，就會發送惡意軟體，甚至在手 機裡植入監控程式。 研究人員發現 5 個不同的漏洞利用鏈（exploit chain），從 iOS 10 到 iOS 12 版本都 有，這些利用鏈涉及了 12 種不同的安全漏洞。其中，有 7 個安全漏洞與 iPhone 內建 的網頁瀏覽器 Safari 有關。 這 5 個攻擊鏈讓駭客擁有 iPhone 設備最高等級的「Root」權限，代表駭客可以在使用 者不知情、甚至不同意的情況下，悄悄在手機裡安裝惡意程式，並監視使用者的手機行為 。 他們可以做什麼事呢？駭客可以竊取使用者手機裡的照片和訊息、跟蹤手機目前的即時定 位資訊，甚至還能獲取使用者在手機上儲存的各個密碼。 但果粉們也別擔心，Google 資安團隊 Project Zero 早在 2019 年 2 月向蘋果報告此資 安漏洞，蘋果也立刻緊急修復漏洞並發佈最新系統版本 iOS 12.1.4，如果 iPhone 使用 者有更新系統，就不需擔心資安問題。 但需注意的是，當 Project Zero 告知蘋果安全漏洞問題時，僅給他們短短一週時間修復 ，代表這項資安漏洞十分嚴重，導致團隊不得不要求蘋果加快修復時程。而截至目前為止 ，蘋果發言人拒絕針對此事發表任何評論。 心得： 今年蘋果安全性出的包真多～ 原來我們的手機都被別人監控2年多了 再來就是12.3修好的漏洞 竟然在12.4重新開放 導致越獄也在12.4重新開放～ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 131.215.107.226 (美國) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1567318554.A.08C.html