https://tinyurl.com/yxaurtkh
Google保安专家：iPhone漏洞遭入侵至少两年
【明报专讯】Google保安专家发现苹果iPhone在过去至少两年遭黑客攻击，黑客先入侵个
别网站，然后在浏览该网站的iPhone内无差别地安装恶意软件，收集联络人以至其他通讯
应用程式的数据。分析估计这些陷阱网站每周有逾千流量，美国媒体《VICE》形容事件“
或是针对iPhone用户的最大型攻击”。目前苹果已在iOS 12.4.1修复漏洞。
Google的Project Zero团队专门研究“零日漏洞”（zero-day），即尚未有修复程式的网
络安全漏洞。他们今年2月向苹果通报有关问题，苹果亦于6日内在iOS 12.4.1修复漏洞。
团队成员比尔（Ian Beer）周四（29日）发表网志解释，iPhone用户只要访问任何一个遭
黑客入侵的网站，其服务器便会在iPhone上安装监控程式。该程式能收集手机内联络人、
图片、GPS位置等数据，每60秒传送到特定外部服务器。虽然通讯应用程式的端对端加密
能确保第三方截取信息时无法读取内容，惟通信的手机本身已遭黑客入侵，监控程式能直
接从用户正开启的Instagram、WhatsApp及Telegram等获取资料。
14项安全漏洞 多涉Safari
今次攻击共涉及iPhone内14项安全漏洞，大多数与默认的浏览器Safari有关，并几乎涵盖
iOS 10至12 所有版本，意味情况已至少持续两年。
不过，比尔亦指出，只要重新启动iPhone即能消除该恶意软件。他未有推测幕后黑手，或
有关漏洞在黑市上的价值。某些“零日漏洞”能在黑市以数百万美元出售，直至有关公司
推出修复方法。
https://www.inside.com.tw/article/17391-google-iphone-secretly-hacked
iPhone 最安全？Google：iPhone 早已被恶意网站入侵多年
以为拿 iPhone 就不用担心资安吗？Google 资安研究员发现，有不少恶意网站透过尚未
公开的软件漏洞悄悄入侵 iPhone，目前已有不知情受害者造访这些恶意网站数千次，时
间至少长达两年。
根据 TechCrunch 报导，Google 资安团队 Project Zero 日前发布一篇文章，指出骇客
先入侵这些网站，之后当 iPhone 使用者造访这些网站时，就会发送恶意软件，甚至在手
机里植入监控程式。
研究人员发现 5 个不同的漏洞利用链（exploit chain），从 iOS 10 到 iOS 12 版本都
有，这些利用链涉及了 12 种不同的安全漏洞。其中，有 7 个安全漏洞与 iPhone 内建
的网页浏览器 Safari 有关。
这 5 个攻击链让骇客拥有 iPhone 设备最高等级的“Root”权限，代表骇客可以在使用
者不知情、甚至不同意的情况下，悄悄在手机里安装恶意程式，并监视使用者的手机行为
。
他们可以做什么事呢？骇客可以窃取使用者手机里的照片和讯息、跟踪手机目前的即时定
位资讯，甚至还能获取使用者在手机上储存的各个密码。
但果粉们也别担心，Google 资安团队 Project Zero 早在 2019 年 2 月向苹果报告此资
安漏洞，苹果也立刻紧急修复漏洞并发布最新系统版本 iOS 12.1.4，如果 iPhone 使用
者有更新系统，就不需担心资安问题。
但需注意的是，当 Project Zero 告知苹果安全漏洞问题时，仅给他们短短一周时间修复
，代表这项资安漏洞十分严重，导致团队不得不要求苹果加快修复时程。而截至目前为止
，苹果发言人拒绝针对此事发表任何评论。
心得：
今年苹果安全性出的包真多～
原来我们的手机都被别人监控2年多了
再来就是12.3修好的漏洞
竟然在12.4重新开放
导致越狱也在12.4重新开放～