ET
知電話就能駭入iPhone植監控程式!連Google都嘆「史詩級漏洞技術」
記者吳佳穎/台北報導
Google 旗下的資安團隊Project Zero team解析一款間諜監控程式 Pegasus 進攻 iPhone
的手法,讚嘆是史上技術最高明漏洞利用!Google表示,駭客只要知道對方電話號碼或是 A
pple ID,利用 iMessage 傳送假 GIF 檔案,在手機分析圖片的過程,駭客軟體就可以趁虛
植入Pegasus,監控 iPhone,完全不需要和被攻擊者互動,採「零點擊」進攻。Pegasus據
說已被專制組織用來監控一些異議人士、記者和人權鬥士等。
Google表示,間諜監控程式 Pegasus 是以色列資安公司 NSO Group 研發的,疑被給駭客和
間諜作為監控工具,引發美國政府的疑慮,已將 NSO Group 公司列入黑名單
根據 Google 說,這高明的漏洞攻擊法有如「國家級駭客」,入侵後可獲得 iPhone 手機的
權限、查看密碼、用麥克風進行竊聽。由於手法難被發現,無法防禦,主要是利用蘋果 Cor
eGraphics 資料庫編號 CVE-2021-30860 漏洞,但蘋果已在 9 月完成修補。
目前疑似也有 Android 版本的進攻工具,亦採取零點擊進攻,但Project Zero 沒有這些漏
洞利用的樣本,歡迎有發現的民眾聯繫Google。
https://finance.ettoday.net/news/2148519