再嚴密的系統,有時也會存在漏洞。早前 Google 旗下的資安團隊 Project Zero team 分析了一款間諜監控程式 Pegasus 進攻 iPhone 的手法,讚嘆是史上技術最高明的漏洞利用。團隊表示,黑客只要知道對方電話號碼或是 Apple ID,利用 iMessage 傳送假 GIF 檔案,在手機分析圖片的過程,黑客軟件就可以趁虛植入 Pegasus,監控 iPhone。
- 間諜監控程式 Pegasus 由以色列資安公司 NSO Group 研發
- 知道被入侵目標的電話號碼或 Apple ID 的話,就可以透過 iMessage 傳送特定的 GIF 檔案,直接入侵手機植入 Pegasus
- 入侵手法主要是運用蘋果 CoreGraphics 資料庫編號 CVE-2021-30860 漏洞,蘋果已在 9 月完成修補
【相關報道】
Google 表示,間諜監控程式 Pegasus 由以色列資安公司 NSO Group 研發,疑給黑客和間諜作為監控工具,引發美國政府的疑慮,已將 NSO Group 公司列入黑名單。Google 指只要知道被入侵目標的電話號碼或 Apple ID 的話,就可以透過 iMessage 傳送特定的 GIF 檔案,當手機在進行 GIF 分析的過程中,就可以直接入侵手機植入 Pegasus。
被害者就算沒有打開傳送過來的 GIF,手機同樣也是會被成功入侵。只要入侵成功後,透過 Pegasus 的功能,就可以取得 iPhone 的手機權限,不僅能夠查看儲存在手機內的密碼,同時也可以操控麥克風進行竊聽,甚至是操作 GPS 判斷出被入侵者的大致位置。
這個入侵手法主要是運用蘋果 CoreGraphics 資料庫編號 CVE-2021-30860 漏洞,蘋果已在 9 月完成修補。
【相關報道】
Source:googleprojectzero