您的位置:首页 >IT >

谷歌揭露iPhone主要安全漏洞 允许网站破解手机

导读 谷歌零项目团队的安全研究人员表示,他们发现了许多被黑客攻击的网站,这些网站通过利用以前未披露的安全漏洞,不分青红皂白地攻击任何访问

谷歌零项目团队的安全研究人员表示,他们发现了许多被黑客攻击的网站,这些网站通过利用以前未披露的安全漏洞,不分青红皂白地攻击任何访问它们的iPhone。主板报道称,此次攻击可能是针对iPhone用户的最大攻击之一。如果用户使用易受攻击的设备访问其中一个恶意网站,他们的个人文件、消息和实时位置数据可能会受损。在向苹果发布调查结果后,iPhone制造商在今年早些时候修复了这些漏洞。

主板指出,这次攻击可能导致这些网站安装了可以访问iPhone钥匙链的植入物。这将使攻击者能够访问其中包含的任何凭证或证书,并允许他们访问看似安全的消息应用程序(如WhatsApp和iMessage)的数据库。虽然这些应用程序使用端到端加密来传输邮件,但如果终端设备受到此攻击,攻击者可以以纯文本形式访问以前加密的邮件。

IOS版本10到12受到影响。

这次袭击值得注意,因为它是如此不分青红皂白。主板指出,其他攻击通常更有针对性,个别链接会发送到目标。在这种情况下,仅仅访问一个恶意站点就足以被攻击,并且可以在设备上安装植入物。研究人员估计,每周有成千上万的访问者访问受损的网站。

如果用户重启手机,植入的恶意网站安装将被删除。然而,研究人员表示,由于攻击会破坏设备的钥匙串,攻击者可以访问其中包含的任何身份验证令牌,这些令牌可用于在植入物从受损设备中消失后长时间保持对帐户和服务的访问。

研究人员表示,他们在五个不同的开发链中发现了14个漏洞,其中一个漏洞在研究人员发现时尚未修复。IOS版本10到12受到该漏洞的影响,研究人员表示,这表明攻击者试图攻击用户至少已有两年。

该团队表示,他们在2月份联系了苹果,报告了该漏洞,并给了该公司7天的时间来修复它。TechCrunch指出,这比研究人员通常提供的典型的90天期限要短,可能反映了漏洞的严重程度。苹果iOS 12.1.4修复了这些漏洞,并修复了一个主要的FaceTime安全漏洞。

尽管这些漏洞现在已经被修复,但研究人员指出,它们可能有更多的漏洞尚未被发现。他们写道:“对于我们已经看到的活动,几乎还有其他某些活动值得关注。”你可以在研究者的博文中找到漏洞利用的全部细节。

免责声明:本文由用户上传,如有侵权请联系删除!

Baidu
map