iPhone存14個安全漏洞,用戶兩年之久沒有發(fā)現(xiàn)

原標題:iPhone存14個安全漏洞,用戶兩年之久沒有發(fā)現(xiàn)

據(jù)外媒報道稱,據(jù)美國財經(jīng)媒體報道,谷歌于周四晚間發(fā)布了一份關(guān)于蘋果操作系統(tǒng)漏洞的深度研究匯編。該匯編研究不是針對一個“漏洞”,而是由谷歌的Project Zero發(fā)現(xiàn)的一系列相關(guān)漏洞或問題的集合,安全團隊Project Zero威脅分析小組(Threat Analysis Group)發(fā)現(xiàn),iPhone存在14個安全漏洞,這些漏洞已經(jīng)存在了兩年。

很多情況下,這些漏洞在發(fā)現(xiàn)后即已經(jīng)告知蘋果,并在后續(xù)的iOS版本中得到修復(fù)。Project Zero表示,用戶只要訪問一個網(wǎng)站,就有可能讓黑客獲得信息、照片、聯(lián)系人和位置信息。今年2月,蘋果在一次軟件更新中修復(fù)了這些漏洞,但顯然不夠這徹底。

據(jù)Project Zero威脅分析小組(TAG)的說法,黑客利用14種不同的漏洞從iPhone上獲取私人信息。其中一個漏洞允許攻擊者訪問私有消息。TAG指出,攻擊者可以在受害者的手機上獲得“未加密的、使用WhatsApp、Telegram和iMessage等流行的端到端加密應(yīng)用程序發(fā)送和接收的信息的純文本”的數(shù)據(jù)庫文件。

TAG表示,攻擊還可能讓黑客獲得聯(lián)系人、Gmail消息、照片和實時位置信息,并指出攻擊者還可以安裝應(yīng)用程序。這些漏洞現(xiàn)在已經(jīng)被修復(fù),但谷歌表示,“就我們所看到的活動而言,幾乎可以肯定還有其他一些問題有待解決?!?/p>

報告中的漏洞大多已經(jīng)公開過。比如,一名來自移動安全應(yīng)用公司360 Security的合作研究員,在2018年11月舉辦的公開黑客競爭中,因發(fā)現(xiàn)一個先前未知的漏洞,獲得20萬美元獎金。

Project Zero是谷歌的一個項目,意在尋找操作系統(tǒng)、軟件和硬件中的所謂的“零日漏洞”,“零日”即指公眾需要使用已知補丁來修補未知漏洞的天數(shù)。。

研究顯示,漏洞往往始于有針對性的“水坑攻擊”。對于這種攻擊方式,黑客通常先破壞一個目標人群常去的網(wǎng)站。用戶在訪問該問題網(wǎng)站之后,設(shè)備會感染惡意代碼,這種代碼可以用于各種目的。在這種情況下,這些惡意代碼主要用來監(jiān)測用戶的iPhone活動。

目前尚不清楚黑客攻擊的成功率為多少。但是從研究中可以發(fā)現(xiàn),有些漏洞已經(jīng)在實驗室之外被觀察到。谷歌稱,這個問題或可已經(jīng)影響上千臺設(shè)備,但不清楚是否有用戶直接受到這些漏洞的影響。

蘋果尚未發(fā)表回應(yīng)。谷歌的報告包含至少自2014年以來已經(jīng)提出的數(shù)個問題,因此蘋果或許需要對Project Zero的報告給予更細微的回答。鑒于蘋果向來標榜自己為最安全的手機制造商,蘋果的回應(yīng)將耐人尋味。

很明顯,谷歌正在利用這份匯編的Project Zero研究來反擊蘋果的隱私營銷?!罢鎸嵱脩舾鶕?jù)對這些設(shè)備的安全性的公共認知來做出風險決策,”谷歌的報告寫道,“事實是,一旦你成為黑客攻擊的目標,安全保護措施永遠無法消除攻擊風險?!?/p>

直接被蘋果的隱私營銷活動針對以及被蘋果的高管“點名批評”的公司都曾采取了一系列措施予以反擊。前Facebook首席安全官亞歷克斯·斯塔莫斯(Alex Stamos)在Twitter上發(fā)表了對這一最新蘋果報道的看法:“這是谷歌團隊的重大發(fā)現(xiàn)。對這些網(wǎng)站的歸因分析非常有助于我們理解它們所能造成的影響?!惫雀璧氖紫瘓?zhí)行官桑達爾·皮猜(Sundar Pichai)也抨擊蘋果,曾表示“隱私不應(yīng)成為奢侈品”。

對蘋果的隱私和安全抨擊將會越來越多。谷歌的研究十分可靠,但其中指出的漏洞對普通iPhone用戶的影響幾乎可以忽略不計。此外,大多數(shù)漏洞在iOS的頻繁更新中已經(jīng)得到修復(fù)。但至少,谷歌的研究,將成為未來陸續(xù)針對蘋果的安全和隱私抨擊的一部分。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-08-31
iPhone存14個安全漏洞,用戶兩年之久沒有發(fā)現(xiàn)
該匯編研究不是針對一個“漏洞”,而是由谷歌的Project Zero發(fā)現(xiàn)的一系列相關(guān)漏洞或問題的集合,安全團隊Project Zero威脅分析小組(Threat Analysis Group)發(fā)現(xiàn),i

長按掃碼 閱讀全文