端點防護業者iVerify發現一個駭客組織利用iPhone上的iMessage漏洞,無需使用者互動就能攻擊歐美政治人物、媒體高層、AI廠商等重要人物,而這些受害者也曾遭到Salt Typhoon的攻擊。

去年底到今年三月間之前,多位iPhone用戶發生手機當機事件,iVerify研究人員分析是和iMessage有關的零點擊攻擊,這波攻擊源自iMessage的imagent行程(process)中的一個漏洞,該漏洞基於其功能和位置因而之前未曾被揭露,iVerify將其命名為NICKNAME。

研究人員解釋命名的由來。iPhone允許用戶為聯絡人設定暱稱或虛擬化身,而當攻擊者接連快速重覆發送暱稱更新到iMessage就會觸發「使用已釋放記憶體」(use-after-free)毁損,這讓NICKNAME成為一個更大範圍攻擊串最好的起始點。

研究人員發現,有6名iPhone用戶遭到和iMessage有關的攻擊。其中一名用戶手機頻繁發生當機後,iMessage附件在數秒內被一次大量刪除或新增的異常情形。這類異常情況僅發生在高價值,如重要政經人物身上,當機率在50000部iPhone 中,有此類當機比例僅0.0001%。另一個證據是,其中一位用戶是歐盟資深政府官員,他曾接到蘋果發送威脅通知,這類通知的對象是國家駭客或政府監聽活動鎖定的iPhone用戶。

研究人員相信,6名iPhone用戶中,4人手機明顯有和NICKNAME相關的簽章,2人手機更顯示了成功濫用漏洞的跡象。所有受害人都證實也曾經遭到中國駭客Salt Typhoon的攻擊,他們有人不願與中共同一路線,有人則是投入抗中活動。

差分分析顯示,NICKNAME影響iOS 18.3,蘋果已經修補,但是該漏洞可能只是更大攻擊串的其中一段,因此研究人員認為無法下結論說這波攻擊已經平息。

熱門新聞

Advertisement