彼得·什庫塔 谷歌零計畫小組的研究人員發現了一個 iOS 平台史上最大的漏洞之一。該惡意軟體利用了行動 Safari 網路瀏覽器中的漏洞。
Google零專案專家 Ian Beer 在他的部落格上解釋了一切。這次沒有人需要躲避攻擊。造訪受感染的網站就足以被感染。
它可能是 你有興趣
大衛哈納克 威脅分析小組(TAG)的分析師最終發現了從 iOS 10 到 iOS 12 總共存在 XNUMX 個不同的錯誤。換句話說,自從這些系統上市以來,攻擊者可以利用該漏洞至少兩年。
該惡意軟體使用了一個非常簡單的原理。訪問該頁面後,一段程式碼在背景運行,可以輕鬆傳輸到設備。該程式的主要目的是收集文件並以一分鐘的間隔發送位置資料。由於程式會將自身複製到裝置的記憶體中,因此即使是這樣的 iMessage 也無法倖免。
TAG 與零號專案一起發現了五個關鍵安全漏洞中的總共 14 個漏洞。其中,整整七個與 iOS 中的行動 Safari 相關,另外五個與作業系統本身的核心相關,還有兩個甚至設法繞過沙箱。在發現時,尚未修補任何漏洞。
照片: EverythingApplePro
僅在 iOS 12.1.4 中修復
零號工程專家報告 蘋果公司的錯誤,根據規則給了他們7天的時間 直至出版。該公司於 1 月 9 日收到通知,該公司在 12.1.4 月 XNUMX 日發布的 iOS XNUMX 更新中修復了該錯誤。
這一系列漏洞非常危險,因為攻擊者可以輕鬆地透過受影響的站點傳播程式碼。由於感染設備所需的只是加載網站並在後台運行腳本,因此幾乎任何人都面臨風險。
一切都在谷歌零專案小組的英文部落格上進行了技術解釋。這篇文章包含了豐富的細節和細節。令人驚訝的是,僅僅一個網頁瀏覽器就可以充當您裝置的網關。用戶不會被迫安裝任何東西。
因此,我們設備的安全性並不是一件可以掉以輕心的事情。
它可能是 你有興趣
來源: 9to5Mac
