iPhone爆重大漏洞,連Google也稱這是“有史以來最高明的漏洞”。Google旗下資安團隊Project Zero team解析一款監控軟體Pegasus駭進iPhone的手法,只需獲得對方電話號碼或Apple ID,即會透過iMessage傳送假GIF檔案,趁手機分析圖片之際,獲得手機許可權監控。
綜合外媒報道,以色列資安業者NSO Group藉由Forcedentry攻擊程式駭入iPhone,再植入Pegasus作為監控、竊聽。Project Zero team研究人員解析攻擊過程,形容其堪比國家級駭客,且是史上最高明的漏洞攻擊。
Google表示,Forcedentry主要透過“零點選”的模式攻擊,駭客藉由iMessage傳送假的GIF檔案,而在點進視窗顯示圖片的同時,手機已經在分析圖片,這時駭客就已經趁虛而入,也就是說駭客根本無需和使用者互動,只需獲得電話號碼或是Apple ID的使用者名稱,就可進行攻擊。
而在成功侵入後,Forcedentry程式就可獲得手機許可權,進而監控密碼、竊聽麥克風等;研究人員稱,這手法掩蔽性極高,且防不勝防,主要是透過蘋果CoreGraphics資料庫編號CVE-2021-30860漏洞,不過蘋果已於9月完成修補;此外,Google也提醒,NSO Group疑也有針對Android版本的攻擊工具,但目前缺乏樣本研究。
報道指出,傳聞有專制組織已經透過Pegasus監控一些異議人士、人權鬥士,甚至是記者,而軟體也引起美國政府疑慮,並將NSO Group列為黑名單