在Google的Project Zero团队中工作的安全研究人员表示,他们已经发现了许多被黑网站,这些网站利用以前未公开的安全漏洞不分青红皂白地攻击任何访问它们的iPhone。主板报告说,这次攻击可能是针对iPhone用户进行的最大攻击之一。如果用户使用易受攻击的设备访问其中一个恶意网站,则他们的个人文件,消息和实时位置数据可能会受到损害。在向Apple发布调查结果后,iPhone制造商在今年早些时候对这些漏洞进行了修补。
主板指出,这次攻击可能使这些网站安装了可以访问iPhone钥匙链的植入物。这将使攻击者能够访问其中包含的任何凭证或证书,并且还可以允许他们访问看似安全的消息传递应用程序(如WhatsApp和iMessage)的数据库。尽管这些应用程序使用端到端加密来传输邮件,但如果终端设备受到此攻击的攻击,则攻击者可以以纯文本方式访问以前加密的邮件。
IOS版本10到12受到影响
这次袭击是值得注意的,因为它是多么不分青红皂白。主板指出,其他攻击通常更具针对性,个别链接会发送到目标。在这种情况下,仅仅访问恶意站点就足以受到攻击,并且植入物可以安装在设备上。研究人员估计,每周有成千上万的访问者访问受到破坏的网站。
如果用户重新启动手机,恶意网站安装的植入将被删除。然而,研究人员表示,由于攻击会破坏设备的钥匙串,因此攻击者可以访问其中包含的任何身份验证令牌,这些可用于在植入物从受损设备中消失后很长时间内维持对帐户和服务的访问。
研究人员表示,他们在五个不同的开发链中发现了14个漏洞,包括一个在研究人员发现它时未修补的漏洞。iOS版本10到12都受到漏洞的影响,研究人员称这表明攻击者试图攻击用户至少两年。
该团队表示,他们在2月份与苹果公司联系,报告了该漏洞,并给该公司短短7天的时间进行修补。TechCrunch指出,与通常由研究人员提供的典型90天窗口相比,这是一个更短的截止日期,并且可能反映了漏洞的严重程度。Apple使用iOS 12.1.4修补了这些漏洞,修复了一个主要的FaceTime安全漏洞。
尽管这些漏洞现已得到修补,但研究人员指出,他们可能还有更多漏洞尚未发现。他们写道:“对于我们所见过的这场竞选活动,几乎可以肯定有其他活动尚待观看。”您可以在研究人员的博客文章中找到漏洞利用的完整详细信息。