Google 威脅分析小組研究發現,今年出現的5種iPhone攻擊鏈,可導致權限升級攻擊,顯示有一群駭客針對特定iPhone用戶系統性進行長期的駭入,時間最少二年,涵括iOS 10.0.1到12.1.2。(圖片來源/Google)

Google Project Zero發現間諜軟體藉由多個被駭網站再駭入iPhone手機,時間長達兩年。Techcrunch報導,這波行動目的在監控維吾爾穆斯林,但一般人連上網站也會遭殃。

Google 威脅分析小組(Threat Analysis Group,TAG)今年初發現一群網站被駭後,被用來對iPhone用戶進行無差別水坑式(watering hole)攻擊。此類攻擊透過在合法網站植入惡意程式,在任何iPhone用戶登入網站下載到手機上,倘若成功即安裝監控用的程式。估計這些網站每周有數千造訪人次。Google TAG研究發現,5支個別獨立而完整的iPhone攻擊鏈(exploit chain),可導致權限升級攻擊,顯示有一群駭客針對特定iPhone用戶系統性進行長期的駭入,時間最少二年,涵括iOS 10.0.1到12.1.2。

Google 另一研究單位Project Zero根據前述研究分析發現,這波行動牽涉高達14個iOS漏洞,包括iOS版Safari漏洞7個、5個核心漏洞及2個沙箱逃逸漏洞。研究人員Ian Beer於上周公佈研究細節。在iOS中的5個攻擊鏈,至少有一個是零時差漏洞且未修補,可植入間諜程式以竊取iPhone用戶的iMessage、相片和GPS座標。經Google今年2月初通報後,蘋果已緊急修補了4項漏洞,包括重大風險的CVE-2019-7287、CVE-2019-7286。

Google作業系統研究員Jonathan Levin指出,這項研究發現的漏洞其實並不新,它新的地方是這些漏洞被用來進行如此大規模的攻擊,因為只要以iPhone存取網站就會被感染,無需用戶點擊或任何動作,可以有效監控許多人。

雖然Google Project Zero研究並未說明被駭的網站有哪些,不過Techcruch上周引述消息人士指出,這些網站入侵行為是國家支持的攻擊行動,可能是中國,而目標則是新疆維吾爾族穆斯林。但是由於這些網站可被Google檢索到,因此非維吾爾族iPhone用戶同樣會被攻擊。消息人士還透露,FBI要求Google將這些網站從其索引中移除。

不過Google、蘋果及FBI皆不願對此評論。

如果報導為真,這將是最新一次中國被揭發,以科技監控新疆地區維吾爾族人。除了部署綿密的監視攝影機外,人權觀察組織Human Rights Watch近日數次指控,中國大規模蒐集及監控新疆民眾的日常生活,利用大數據分析技術部署治安預測(Predictive Policing)專案,標註那些可能對官方造成威脅的個人。警方還會監控當地民眾手機是否安裝了51種被列入黑名單的程式,從 Viber、WhatsApp、Telegram到VPN等。


Advertisement

更多 iThome相關內容