月光博客 » 業界動態 » 谷歌公布蘋果iPhone大量漏洞

谷歌公布蘋果iPhone大量漏洞

  日前,谷歌Project Zero安全團隊公布了iPhone存在的14個安全漏洞,且這些漏洞已存在兩年左右。根據相關條例,Project Zero團隊此時公布漏洞并無任何問題。

  Project Zero披露了一項史無前例的黑客攻擊行動,目標群體為對蘋果用戶,該攻擊直到今年1月才中斷。該攻擊持續了30個月,黑客們利用一小部分已被入侵網站,將惡意軟件傳遞給iPhone用戶。用戶只要訪問網站即被入侵,無需進行任何交互,就有可能讓黑客獲得信息、照片、聯系人和位置信息。今年2月,蘋果在一次軟件更新中修復了這些漏洞,但谷歌表示肯定還有其他一些問題有待解決。

  谷歌Project Zero是一個研究和發布其在公共軟件中發現的安全和隱私漏洞的組織。該組織周四晚間表示,iPhone的這些安全漏洞已經存在了兩年。這些漏洞讓攻擊者可以訪問iPhone用戶的照片、位置信息、私人信息等等。

  在谷歌通知蘋果之后,蘋果于今年2月發布了iOS 12.1.4,這也是谷歌現在公開談論這些漏洞的原因。谷歌表示,此次攻擊沒有針對特定的iPhone用戶,只要用戶訪問一個受感染的網站就可能會被攻擊。而此次攻擊“可能每周影響數千名訪問者”。據Project Zero威脅分析小組(TAG)的說法,黑客利用14種不同的漏洞從iPhone上獲取私人信息。

  其中一個漏洞允許攻擊者訪問私有消息。TAG指出,攻擊者可以在受害者的手機上獲得“未加密的、使用WhatsApp、Telegram和iMessage等流行的端到端加密應用程序發送和接收的信息的純文本”的數據庫文件。TAG表示,攻擊還可能讓黑客獲得聯系人、Gmail消息、照片和實時位置信息,并指出攻擊者還可以安裝應用程序。

  這些漏洞現在已經被修復,但谷歌表示,“就我們所看到的活動而言,幾乎可以肯定還有其他一些問題有待解決。”

  后續:9月3日,蘋果公司官網發布針對此次安全問題的回應,回應全文如下:

  關于 iOS 安全性的聲明

  上周,Google 針對 Apple 于今年 2 月為 iOS 用戶修復的漏洞發布了博文。我們收到了對 Google 主張的某些內容感到擔心的用戶的反饋,希望在此向所有用戶澄清事實。

  首先,精心策劃的攻擊僅限于較小的范圍,并非 Google 所描述的大規模利用全體用戶的 iPhone 手機。攻擊只影響到大約十個專注于維吾爾族社區相關內容的網站。然而無論攻擊規模如何,我們都極其重視每一位用戶的使用安全。

  Google 于 iOS 補丁推出 6 個月之后發布此博文,造成“大規模利用”,甚至“實時監控所有用戶私密活動”的錯誤認知,引發了 iPhone 用戶對自己設備上的信息遭遇泄露的擔憂。這種情況并不屬實。

  其次,有充分的證據表明,此類網站攻擊僅持續了大約兩個月的時間,并非 Google 暗示的“兩年”。我們已于 2 月修復了這些引發質疑的漏洞,并在獲知此情況的短短 10 天之內就及時解決了問題。當 Google 試圖向我們了解信息時,我們已經開始著手修復這些遭遇利用的漏洞了。

  安全性是沒有終點的旅程,用戶盡管可以對我們在這方面的努力充滿信心。iOS 具有出眾的安全性,因為我們采用端到端加密技術確保自己的軟硬件安全。我們在全球的產品安全團隊反復聲明,一旦發現漏洞就會立即啟用新的保護方案并進行修復。我們將不遺余力地保護用戶安全,永不止步。

頂一下 ▲()   踩一下 ▼()

相關文章

發表留言


排列三和值南方双彩网