https://tinyurl.com/yxaurtkh
Google保安專家：iPhone漏洞遭入侵至少兩年
【明報專訊】Google保安專家發現蘋果iPhone在過去至少兩年遭黑客攻擊，黑客先入侵個
別網站，然後在瀏覽該網站的iPhone內無差別地安裝惡意軟件，收集聯絡人以至其他通訊
應用程式的數據。分析估計這些陷阱網站每周有逾千流量，美國媒體《VICE》形容事件「
或是針對iPhone用戶的最大型攻擊」。目前蘋果已在iOS 12.4.1修復漏洞。
Google的Project Zero團隊專門研究「零日漏洞」（zero-day），即尚未有修復程式的網
絡安全漏洞。他們今年2月向蘋果通報有關問題，蘋果亦於6日內在iOS 12.4.1修復漏洞。
團隊成員比爾（Ian Beer）周四（29日）發表網誌解釋，iPhone用戶只要訪問任何一個遭
黑客入侵的網站，其伺服器便會在iPhone上安裝監控程式。該程式能收集手機內聯絡人、
圖片、GPS位置等數據，每60秒傳送到特定外部伺服器。雖然通訊應用程式的端對端加密
能確保第三方截取信息時無法讀取內容，惟通信的手機本身已遭黑客入侵，監控程式能直
接從用戶正開啟的Instagram、WhatsApp及Telegram等獲取資料。
14項安全漏洞 多涉Safari
今次攻擊共涉及iPhone內14項安全漏洞，大多數與預設的瀏覽器Safari有關，並幾乎涵蓋
iOS 10至12 所有版本，意味情况已至少持續兩年。
不過，比爾亦指出，只要重新啟動iPhone即能消除該惡意軟件。他未有推測幕後黑手，或
有關漏洞在黑市上的價值。某些「零日漏洞」能在黑市以數百萬美元出售，直至有關公司
推出修復方法。
https://www.inside.com.tw/article/17391-google-iphone-secretly-hacked
iPhone 最安全？Google：iPhone 早已被惡意網站入侵多年
以為拿 iPhone 就不用擔心資安嗎？Google 資安研究員發現，有不少惡意網站透過尚未
公開的軟體漏洞悄悄入侵 iPhone，目前已有不知情受害者造訪這些惡意網站數千次，時
間至少長達兩年。
根據 TechCrunch 報導，Google 資安團隊 Project Zero 日前發佈一篇文章，指出駭客
先入侵這些網站，之後當 iPhone 使用者造訪這些網站時，就會發送惡意軟體，甚至在手
機裡植入監控程式。
研究人員發現 5 個不同的漏洞利用鏈（exploit chain），從 iOS 10 到 iOS 12 版本都
有，這些利用鏈涉及了 12 種不同的安全漏洞。其中，有 7 個安全漏洞與 iPhone 內建
的網頁瀏覽器 Safari 有關。
這 5 個攻擊鏈讓駭客擁有 iPhone 設備最高等級的「Root」權限，代表駭客可以在使用
者不知情、甚至不同意的情況下，悄悄在手機裡安裝惡意程式，並監視使用者的手機行為
。
他們可以做什麼事呢？駭客可以竊取使用者手機裡的照片和訊息、跟蹤手機目前的即時定
位資訊，甚至還能獲取使用者在手機上儲存的各個密碼。
但果粉們也別擔心，Google 資安團隊 Project Zero 早在 2019 年 2 月向蘋果報告此資
安漏洞，蘋果也立刻緊急修復漏洞並發佈最新系統版本 iOS 12.1.4，如果 iPhone 使用
者有更新系統，就不需擔心資安問題。
但需注意的是，當 Project Zero 告知蘋果安全漏洞問題時，僅給他們短短一週時間修復
，代表這項資安漏洞十分嚴重，導致團隊不得不要求蘋果加快修復時程。而截至目前為止
，蘋果發言人拒絕針對此事發表任何評論。
心得：
今年蘋果安全性出的包真多～
原來我們的手機都被別人監控2年多了
再來就是12.3修好的漏洞
竟然在12.4重新開放
導致越獄也在12.4重新開放～