▲iPhone可被國家級駭客,零點擊植入監控程式,圖為iPhone 13 Pro。(圖/記者李毓康攝)
記者吳佳穎/台北報導
Google 旗下的資安團隊Project Zero team解析一款間諜監控程式 Pegasus 進攻 iPhone 的手法,讚嘆是史上技術最高明漏洞利用!Google表示,駭客只要知道對方電話號碼或是 Apple ID,利用 iMessage 傳送假 GIF 檔案,在手機分析圖片的過程,駭客軟體就可以趁虛植入Pegasus,監控 iPhone,完全不需要和被攻擊者互動,採「零點擊」進攻。Pegasus據說已被專制組織用來監控一些異議人士、記者和人權鬥士等。
[廣告] 請繼續往下閱讀.
Google表示,間諜監控程式 Pegasus 是以色列資安公司 NSO Group 研發的,疑被給駭客和間諜作為監控工具,引發美國政府的疑慮,已將 NSO Group 公司列入黑名單。
根據 Google 說,這高明的漏洞攻擊法有如「國家級駭客」,入侵後可獲得 iPhone 手機的權限、查看密碼、用麥克風進行竊聽。由於手法難被發現,無法防禦,主要是利用蘋果 CoreGraphics 資料庫編號 CVE-2021-30860 漏洞,但蘋果已在 9 月完成修補。
目前疑似也有 Android 版本的進攻工具,亦採取零點擊進攻,但Project Zero 沒有這些漏洞利用的樣本,歡迎有發現的民眾聯繫Google。