iOS 用戶竟然被秘密入侵兩年!Google 發現駭客利用 iOS 漏洞進行大規模無差別攻擊 iPhone 用戶
Google Project Zero 研究人員發現,駭客利用 10 多項 iOS 漏洞-大部份未修補的零時差漏洞-駭入 iPhone、iPad 用戶以竊取相片、電子郵件、多個網站登入帳密,時間長達 2 年。
研究人員發現,這波攻擊是從一小群被駭網站發動,利用攻擊程式對每台造訪網站的 iOS 裝置,包括 iPhone、iPad。iOS 14 項漏洞被分成 5 個獨立攻擊鏈 (exploit chain),使攻擊者得以駭入 iOS 裝置。分析這些攻擊鏈顯示,受害 iOS 版本橫跨 2016 年 9 月的 10.0.1 再到去年 12 月的 12.1.2。
這 14 項漏洞包括 7 個 Safari Webkit 套件漏洞、5 個 iOS 核心漏洞、2 個瀏覽器沙盒逃逸(sandbox escape)漏洞。5 個攻擊鏈至少有 1 個在今年初揭露時仍未修補。Google 研究人員於 2 月 1 日通報蘋果,後者則在 7 天的大限(之後 Google 就會公佈)前發出例外更新加以修補。
分析網站植入到 iPhone 或 iPad 的程式,顯示駭客意在蒐集即時所在位置及即時加密通訊服務如 WhatsApp、Telegram、iMessage 的資料庫。它也可蒐集用戶 Gmail、Office Outlook、Facebook、Skype、QQmail、Telegram、Tencent 的 container directory。攻擊者可以一次列出受害裝置上所有 app,可下令一次上載所有 App 的 container directory(儲存 iOS app 資訊的資料庫),也可以隨時指明上傳不在清單上特定 App 的 container directory。此外,它也可以取得 iOS 上的所有(包括臉書、Gmail 或 iCloud)網站或 Wi-Fi 網路密碼。
研究人員 Ian Beer 指出,被駭的價值損失不是 100、200 或 2,000 萬,考慮到它讓駭客可以即時瞄準或監控整個族群的私密活動,這些標價都太低了。
他的文章並未指出被駭的網站是哪些,只說估計「每周有數千訪客」。Project Zero 或蘋果皆未說明 iOS 用戶如何確定他們是不是遭感染。而這波行動中安裝的惡意程式大部份人幾乎無法察覺,但重開機即被消滅,因此只要手機重開機應該就沒有安全疑慮了。不過由於惡意程式可蒐集相片、電子郵件、登入帳密給攻擊者控制的伺服器,因此,即使在惡意程式消失,使用者還是持續被監控。
外部研究人員認為,這長達兩年的攻擊行動很不容易,並非一般駭客做得到。首先,iOS 向來以難攻陷聞名,而能利用未公開的漏洞將 iOS 中防護嚴密的記憶體堆積 (heap) 梳理出來,並繞過進階防護,時間還長達兩年,還要考慮到不同硬體、韌體的組合,這可不是一件簡單事。Atredit Partner 首席安全研究員 Charles Holmes 認為最可能的解釋是背後有國家力量支持。
但另一方面,其他研究人員又指出,這波攻擊植入的程式卻很粗糙,還以未加密 HTTP 通道傳送蒐集的 Gmail、iMessage、WhatsApp、Telegram 內容、照片、登入憑證等,這都很容易被偵測到,好像並未刻意要隱藏其行動。
另一方面,此次行動涵括 iOS 10 到 iOS 12.1。一般間諜行動都會刻意侷限特定個人,像這次這樣無差別攻擊所有 iOS 用戶,根本很容易被察覺。
有些研究人員如 Jamf 研究人員 Patrick Wardle 推測,這波攻擊背後主使者很有錢,要多少攻擊程式碼都不是問題,卻又處處露出馬腳,因此若不是沒什麼經驗,就是他根本不在乎被發現他正在監控特定一群人。
來源: Ars Technica