蘋果公司智能手機iPhone爆出重大保安漏洞,加拿大網絡監察組織「公民實驗室」揭發,有「零點擊攻擊」惡意軟件能在用戶沒有點擊任何連結或檔案下,入侵並操控iPhone,完全無跡可尋。蘋果證實有關消息,表示已經發布更新檔修補漏洞。
「公民實驗室」研究員馬爾扎克指出,沙特阿拉伯一名社運人士的iPhone,自今年2月遭惡意軟件入侵,即使沒有點擊連結或檔案,手機仍會被惡意軟件操控,黑客能讀取用戶手機內的檔案,甚至啟動手機的拍攝鏡頭和咪高峰進行監控。
馬爾扎克稱,相信是以色列網絡偵測公司NSO使用「飛馬」(Pegasus)間諜軟件發動攻擊,並指該軟件能入侵蘋果iOS、OSX及watchOS作業系統所有版本,意味iPhone、Mac和Apple Watch均可能成為目標。用戶完全不會察覺裝置已被入侵,因此防不勝防。這個漏洞存在於iMessage簡訊自動生成圖片的機制。
iMessage一直是NSO及其他黑客下手目標,蘋果因此變更了iMessage架構,不過尚未能完全保護系統。
蘋果證實在發現這項漏洞後,已發布針對iOS 14.8作業系統的更新,強調這類惡意軟件通常用作針對特定目標,對大部分用戶不會構成威脅。更新包含iPhone、iPad、Mac和AppleWatch系統,將透過iOS 14.8、iPadOS 14.8、macOS 11.6,和WatchOS 7.6.2修補漏洞。
蘋果安全工程和架構負責人Ivan Krstić表示,這種攻擊非常複雜,開發成本相當昂貴,需要數百萬美元,且通常被利用來「監視政治異議」或是「人權活動人士」等特定個人。
編輯:YS CHAU
