iPhone爆史詩級漏洞!知道電話就被監控 專家驚歎:國家級駭客
iPhone爆大漏洞,傳1張圖片就中招。(示意圖/達志影像)
iPhone爆重大漏洞,連Google也稱這是「有史以來最高明的漏洞」。Google旗下資安團隊Project Zero team解析一款監控軟體Pegasus駭進iPhone的手法,只需獲得對方電話號碼或Apple ID,即會透過iMessage傳送假GIF檔案,趁手機分析圖片之際,獲得手機權限監控。
綜合外媒報導,以色列資安業者NSO Group藉由Forcedentry攻擊程式駭入iPhone,再植入Pegasus作爲監控、竊聽。Project Zero team研究人員解析攻擊過程,形容其堪比國家級駭客,且是史上最高明的漏洞攻擊。
Google表示,Forcedentry主要透過「零點擊」的模式攻擊,駭客藉由iMessage傳送假的GIF檔案,而在點進視窗顯示圖片的同時,手機已經在分析圖片,這時駭客就已經趁虛而入,也就是說駭客根本無需和用戶互動,只需獲得電話號碼或是Apple ID的使用者名稱,就可進行攻擊。
而在成功侵入後,Forcedentry程式就可獲得手機權限,進而監控密碼、竊聽麥克風等;研究人員稱,這手法掩蔽性極高,且防不勝防,主要是透過蘋果CoreGraphics數據庫編號CVE-2021-30860漏洞,不過蘋果已於9月完成修補;此外,Google也提醒,NSO Group疑也有針對Android版本的攻擊工具,但目前缺乏樣本研究。
報導指出,傳聞有專制組織已經透過Pegasus監控一些異議人士、人權鬥士,甚至是記者,而軟體也引起美國政府疑慮,並將NSO Group列爲黑名單。