iPhone存14個(gè)安全漏洞，用戶兩年之久沒有發(fā)現(xiàn)

原標(biāo)題：iPhone存14個(gè)安全漏洞，用戶兩年之久沒有發(fā)現(xiàn)

據(jù)外媒報(bào)道稱，據(jù)美國財(cái)經(jīng)媒體報(bào)道，谷歌于周四晚間發(fā)布了一份關(guān)于蘋果操作系統(tǒng)漏洞的深度研究匯編。該匯編研究不是針對(duì)一個(gè)“漏洞”，而是由谷歌的Project Zero發(fā)現(xiàn)的一系列相關(guān)漏洞或問題的集合，安全團(tuán)隊(duì)Project Zero威脅分析小組（Threat Analysis Group）發(fā)現(xiàn)，iPhone存在14個(gè)安全漏洞，這些漏洞已經(jīng)存在了兩年。

很多情況下，這些漏洞在發(fā)現(xiàn)后即已經(jīng)告知蘋果，并在后續(xù)的iOS版本中得到修復(fù)。Project Zero表示，用戶只要訪問一個(gè)網(wǎng)站，就有可能讓黑客獲得信息、照片、聯(lián)系人和位置信息。今年2月，蘋果在一次軟件更新中修復(fù)了這些漏洞，但顯然不夠這徹底。

據(jù)Project Zero威脅分析小組（TAG）的說法，黑客利用14種不同的漏洞從iPhone上獲取私人信息。其中一個(gè)漏洞允許攻擊者訪問私有消息。TAG指出，攻擊者可以在受害者的手機(jī)上獲得“未加密的、使用WhatsApp、Telegram和iMessage等流行的端到端加密應(yīng)用程序發(fā)送和接收的信息的純文本”的數(shù)據(jù)庫文件。

TAG表示，攻擊還可能讓黑客獲得聯(lián)系人、Gmail消息、照片和實(shí)時(shí)位置信息，并指出攻擊者還可以安裝應(yīng)用程序。這些漏洞現(xiàn)在已經(jīng)被修復(fù)，但谷歌表示，“就我們所看到的活動(dòng)而言，幾乎可以肯定還有其他一些問題有待解決?！?/p>

報(bào)告中的漏洞大多已經(jīng)公開過。比如，一名來自移動(dòng)安全應(yīng)用公司360 Security的合作研究員，在2018年11月舉辦的公開黑客競爭中，因發(fā)現(xiàn)一個(gè)先前未知的漏洞，獲得20萬美元獎(jiǎng)金。

Project Zero是谷歌的一個(gè)項(xiàng)目，意在尋找操作系統(tǒng)、軟件和硬件中的所謂的“零日漏洞”，“零日”即指公眾需要使用已知補(bǔ)丁來修補(bǔ)未知漏洞的天數(shù)。。

研究顯示，漏洞往往始于有針對(duì)性的“水坑攻擊”。對(duì)于這種攻擊方式，黑客通常先破壞一個(gè)目標(biāo)人群常去的網(wǎng)站。用戶在訪問該問題網(wǎng)站之后，設(shè)備會(huì)感染惡意代碼，這種代碼可以用于各種目的。在這種情況下，這些惡意代碼主要用來監(jiān)測用戶的iPhone活動(dòng)。

目前尚不清楚黑客攻擊的成功率為多少。但是從研究中可以發(fā)現(xiàn)，有些漏洞已經(jīng)在實(shí)驗(yàn)室之外被觀察到。谷歌稱，這個(gè)問題或可已經(jīng)影響上千臺(tái)設(shè)備，但不清楚是否有用戶直接受到這些漏洞的影響。

蘋果尚未發(fā)表回應(yīng)。谷歌的報(bào)告包含至少自2014年以來已經(jīng)提出的數(shù)個(gè)問題，因此蘋果或許需要對(duì)Project Zero的報(bào)告給予更細(xì)微的回答。鑒于蘋果向來標(biāo)榜自己為最安全的手機(jī)制造商，蘋果的回應(yīng)將耐人尋味。

很明顯，谷歌正在利用這份匯編的Project Zero研究來反擊蘋果的隱私營銷?！罢鎸?shí)用戶根據(jù)對(duì)這些設(shè)備的安全性的公共認(rèn)知來做出風(fēng)險(xiǎn)決策，”谷歌的報(bào)告寫道，“事實(shí)是，一旦你成為黑客攻擊的目標(biāo)，安全保護(hù)措施永遠(yuǎn)無法消除攻擊風(fēng)險(xiǎn)?！?/p>

直接被蘋果的隱私營銷活動(dòng)針對(duì)以及被蘋果的高管“點(diǎn)名批評(píng)”的公司都曾采取了一系列措施予以反擊。前Facebook首席安全官亞歷克斯·斯塔莫斯（Alex Stamos）在Twitter上發(fā)表了對(duì)這一最新蘋果報(bào)道的看法：“這是谷歌團(tuán)隊(duì)的重大發(fā)現(xiàn)。對(duì)這些網(wǎng)站的歸因分析非常有助于我們理解它們所能造成的影響?！惫雀璧氖紫瘓?zhí)行官桑達(dá)爾·皮猜（Sundar Pichai）也抨擊蘋果，曾表示“隱私不應(yīng)成為奢侈品”。

對(duì)蘋果的隱私和安全抨擊將會(huì)越來越多。谷歌的研究十分可靠，但其中指出的漏洞對(duì)普通iPhone用戶的影響幾乎可以忽略不計(jì)。此外，大多數(shù)漏洞在iOS的頻繁更新中已經(jīng)得到修復(fù)。但至少，谷歌的研究，將成為未來陸續(xù)針對(duì)蘋果的安全和隱私抨擊的一部分。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。