原标题:iPhone存14个安全漏洞,用户两年之久没有发现
据外媒报道称,据美国财经媒体报道,谷歌于周四晚间发布了一份关于苹果操作系统漏洞的深度研究汇编。该汇编研究不是针对一个“漏洞”,而是由谷歌的Project Zero发现的一系列相关漏洞或问题的集合,安全团队Project Zero威胁分析小组(Threat Analysis Group)发现,iPhone存在14个安全漏洞,这些漏洞已经存在了两年。
很多情况下,这些漏洞在发现后即已经告知苹果,并在后续的iOS版本中得到修复。Project Zero表示,用户只要访问一个网站,就有可能让黑客获得信息、照片、联系人和位置信息。今年2月,苹果在一次软件更新中修复了这些漏洞,但显然不够这彻底。
据Project Zero威胁分析小组(TAG)的说法,黑客利用14种不同的漏洞从iPhone上获取私人信息。其中一个漏洞允许攻击者访问私有消息。TAG指出,攻击者可以在受害者的手机上获得“未加密的、使用WhatsApp、Telegram和iMessage等流行的端到端加密应用程序发送和接收的信息的纯文本”的数据库文件。
TAG表示,攻击还可能让黑客获得联系人、Gmail消息、照片和实时位置信息,并指出攻击者还可以安装应用程序。这些漏洞现在已经被修复,但谷歌表示,“就我们所看到的活动而言,几乎可以肯定还有其他一些问题有待解决。”
报告中的漏洞大多已经公开过。比如,一名来自移动安全应用公司360 Security的合作研究员,在2018年11月举办的公开黑客竞争中,因发现一个先前未知的漏洞,获得20万美元奖金。
Project Zero是谷歌的一个项目,意在寻找操作系统、软件和硬件中的所谓的“零日漏洞”,“零日”即指公众需要使用已知补丁来修补未知漏洞的天数。。
研究显示,漏洞往往始于有针对性的“水坑攻击”。对于这种攻击方式,黑客通常先破坏一个目标人群常去的网站。用户在访问该问题网站之后,设备会感染恶意代码,这种代码可以用于各种目的。在这种情况下,这些恶意代码主要用来监测用户的iPhone活动。
目前尚不清楚黑客攻击的成功率为多少。但是从研究中可以发现,有些漏洞已经在实验室之外被观察到。谷歌称,这个问题或可已经影响上千台设备,但不清楚是否有用户直接受到这些漏洞的影响。
苹果尚未发表回应。谷歌的报告包含至少自2014年以来已经提出的数个问题,因此苹果或许需要对Project Zero的报告给予更细微的回答。鉴于苹果向来标榜自己为最安全的手机制造商,苹果的回应将耐人寻味。
很明显,谷歌正在利用这份汇编的Project Zero研究来反击苹果的隐私营销。“真实用户根据对这些设备的安全性的公共认知来做出风险决策,”谷歌的报告写道,“事实是,一旦你成为黑客攻击的目标,安全保护措施永远无法消除攻击风险。”
直接被苹果的隐私营销活动针对以及被苹果的高管“点名批评”的公司都曾采取了一系列措施予以反击。前Facebook首席安全官亚历克斯·斯塔莫斯(Alex Stamos)在Twitter上发表了对这一最新苹果报道的看法:“这是谷歌团队的重大发现。对这些网站的归因分析非常有助于我们理解它们所能造成的影响。”谷歌的首席执行官桑达尔·皮猜(Sundar Pichai)也抨击苹果,曾表示“隐私不应成为奢侈品”。
对苹果的隐私和安全抨击将会越来越多。谷歌的研究十分可靠,但其中指出的漏洞对普通iPhone用户的影响几乎可以忽略不计。此外,大多数漏洞在iOS的频繁更新中已经得到修复。但至少,谷歌的研究,将成为未来陆续针对苹果的安全和隐私抨击的一部分。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
