ET
知电话就能骇入iPhone植监控程式！连Google都叹“史诗级漏洞技术”
记者吴佳颖／台北报导
Google 旗下的资安团队Project Zero team解析一款间谍监控程式 Pegasus 进攻 iPhone
的手法，赞叹是史上技术最高明漏洞利用！Google表示，骇客只要知道对方电话号码或是 A
pple ID，利用 iMessage 传送假 GIF 档案，在手机分析图片的过程，骇客软件就可以趁虚
植入Pegasus，监控 iPhone，完全不需要和被攻击者互动，采“零点击”进攻。Pegasus据
说已被专制组织用来监控一些异议人士、记者和人权斗士等。
Google表示，间谍监控程式 Pegasus 是以色列资安公司 NSO Group 研发的，疑被给骇客和
间谍作为监控工具，引发美国政府的疑虑，已将 NSO Group 公司列入黑名单
根据 Google 说，这高明的漏洞攻击法有如“国家级骇客”，入侵后可获得 iPhone 手机的
权限、查看密码、用麦克风进行窃听。由于手法难被发现，无法防御，主要是利用苹果 Cor
eGraphics 数据库编号 CVE-2021-30860 漏洞，但苹果已在 9 月完成修补。
目前疑似也有 Android 版本的进攻工具，亦采取零点击进攻，但Project Zero 没有这些漏
洞利用的样本，欢迎有发现的民众联系Google。
https://finance.ettoday.net/news/2148519