iPhone存14個安全漏洞，用戶兩年之久沒有發(fā)現(xiàn)

原標(biāo)題：iPhone存14個安全漏洞，用戶兩年之久沒有發(fā)現(xiàn)

據(jù)外媒報道稱，據(jù)美國財經(jīng)媒體報道，谷歌于周四晚間發(fā)布了一份關(guān)于蘋果操作系統(tǒng)漏洞的深度研究匯編。該匯編研究不是針對一個“漏洞”，而是由谷歌的Project Zero發(fā)現(xiàn)的一系列相關(guān)漏洞或問題的集合，安全團(tuán)隊Project Zero威脅分析小組（Threat Analysis Group）發(fā)現(xiàn)，iPhone存在14個安全漏洞，這些漏洞已經(jīng)存在了兩年。

很多情況下，這些漏洞在發(fā)現(xiàn)后即已經(jīng)告知蘋果，并在后續(xù)的iOS版本中得到修復(fù)。Project Zero表示，用戶只要訪問一個網(wǎng)站，就有可能讓黑客獲得信息、照片、聯(lián)系人和位置信息。今年2月，蘋果在一次軟件更新中修復(fù)了這些漏洞，但顯然不夠這徹底。

據(jù)Project Zero威脅分析小組（TAG）的說法，黑客利用14種不同的漏洞從iPhone上獲取私人信息。其中一個漏洞允許攻擊者訪問私有消息。TAG指出，攻擊者可以在受害者的手機上獲得“未加密的、使用WhatsApp、Telegram和iMessage等流行的端到端加密應(yīng)用程序發(fā)送和接收的信息的純文本”的數(shù)據(jù)庫文件。

TAG表示，攻擊還可能讓黑客獲得聯(lián)系人、Gmail消息、照片和實時位置信息，并指出攻擊者還可以安裝應(yīng)用程序。這些漏洞現(xiàn)在已經(jīng)被修復(fù)，但谷歌表示，“就我們所看到的活動而言，幾乎可以肯定還有其他一些問題有待解決?！?/p>

報告中的漏洞大多已經(jīng)公開過。比如，一名來自移動安全應(yīng)用公司360 Security的合作研究員，在2018年11月舉辦的公開黑客競爭中，因發(fā)現(xiàn)一個先前未知的漏洞，獲得20萬美元獎金。

Project Zero是谷歌的一個項目，意在尋找操作系統(tǒng)、軟件和硬件中的所謂的“零日漏洞”，“零日”即指公眾需要使用已知補丁來修補未知漏洞的天數(shù)。。

研究顯示，漏洞往往始于有針對性的“水坑攻擊”。對于這種攻擊方式，黑客通常先破壞一個目標(biāo)人群常去的網(wǎng)站。用戶在訪問該問題網(wǎng)站之后，設(shè)備會感染惡意代碼，這種代碼可以用于各種目的。在這種情況下，這些惡意代碼主要用來監(jiān)測用戶的iPhone活動。

目前尚不清楚黑客攻擊的成功率為多少。但是從研究中可以發(fā)現(xiàn)，有些漏洞已經(jīng)在實驗室之外被觀察到。谷歌稱，這個問題或可已經(jīng)影響上千臺設(shè)備，但不清楚是否有用戶直接受到這些漏洞的影響。

蘋果尚未發(fā)表回應(yīng)。谷歌的報告包含至少自2014年以來已經(jīng)提出的數(shù)個問題，因此蘋果或許需要對Project Zero的報告給予更細(xì)微的回答。鑒于蘋果向來標(biāo)榜自己為最安全的手機制造商，蘋果的回應(yīng)將耐人尋味。

很明顯，谷歌正在利用這份匯編的Project Zero研究來反擊蘋果的隱私營銷?！罢鎸嵱脩舾鶕?jù)對這些設(shè)備的安全性的公共認(rèn)知來做出風(fēng)險決策，”谷歌的報告寫道，“事實是，一旦你成為黑客攻擊的目標(biāo)，安全保護(hù)措施永遠(yuǎn)無法消除攻擊風(fēng)險?！?/p>

直接被蘋果的隱私營銷活動針對以及被蘋果的高管“點名批評”的公司都曾采取了一系列措施予以反擊。前Facebook首席安全官亞歷克斯·斯塔莫斯（Alex Stamos）在Twitter上發(fā)表了對這一最新蘋果報道的看法：“這是谷歌團(tuán)隊的重大發(fā)現(xiàn)。對這些網(wǎng)站的歸因分析非常有助于我們理解它們所能造成的影響?！惫雀璧氖紫瘓?zhí)行官桑達(dá)爾·皮猜（Sundar Pichai）也抨擊蘋果，曾表示“隱私不應(yīng)成為奢侈品”。

對蘋果的隱私和安全抨擊將會越來越多。谷歌的研究十分可靠，但其中指出的漏洞對普通iPhone用戶的影響幾乎可以忽略不計。此外，大多數(shù)漏洞在iOS的頻繁更新中已經(jīng)得到修復(fù)。但至少，谷歌的研究，將成為未來陸續(xù)針對蘋果的安全和隱私抨擊的一部分。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。