在设备安全性和隐私性方面,苹果公司的声誉比大多数公司都要好,但本周谷歌详细介绍了如何访问网站足以入侵iPhone时,这一声誉受到了打击。
正如TechCrunch报道的那样,Google的Project Zero安全分析师小组与威胁分析小组(TAG)一起,在今年早些时候发现了一组能够入侵iPhone的受感染网站。iPhone用户所要做的就是访问其中一个站点进行攻击。如果成功,该网站将在设备上安装监视植入物。
监视植入程序专注于窃取文件和监视实时位置数据。它会从流行的邮件应用程序(包括Whatsapp,iMessage,环聊和电报)中窃取数据,并复制Gmail数据以及设备上存储的所有联系人和照片。
此类攻击依赖于零时差漏洞,这意味着目标设备上没有针对这些漏洞的防护措施。零项目的进一步调查显示,该网站利用了五个漏洞利用链中使用的14个不同漏洞。漏洞中的七个是Safari浏览器中的,五个是针对iPhone内核的,两个是沙箱转义。在其iPhone或iPad上运行iOS 10至iOS 12的任何人都容易受到这些攻击。
鉴于漏洞利用的严重性,Google向苹果报告了漏洞,要求他们在7天的期限内发布修复程序,而不是通常提供的90天期限。该报告于今年2月1日发送。苹果于2月7日发布了iOS安全更新,此更新消除了安全漏洞。