2019年9月7日 上午11:52
蘋果公司(Apple)6日證實,被北京視為安全威脅的中國維吾爾族人,曾是駭客透過iPhone安全漏洞攻擊的目標,但也回擊說谷歌(Google)的研究內容不精確且有誤導性。
蘋果6日證實,中國維吾爾族人曾是駭客透過iPhone安全漏洞攻擊的目標。(中央社檔案照片)
更多
路透社報導,Google資安團隊Project Zero研究人員上週表示,5處安全漏洞導致「在至少兩年的時間內,特定社群的iPhone用戶遭到駭入攻擊」。
研究人員沒有指明被攻擊的社群,但美國有線電視新聞網(CNN)、科技媒體TechCrunch及其他新聞組織報導說,攻擊目的是監視維吾爾人。路透社最近報導,中國為監控維吾爾遊客,甚至駭入亞洲電信公司。
蘋果6日表示,這起攻擊「具高度針對性」,影響「不到12個聚焦在維吾爾社群相關內容的網站」,而非如Google研究人員所形容的「大規模」駭入iPhone用戶行動。蘋果也說,2月在Google通知的10天內就已解決這個問題。
蘋果還表示,證據顯示,網站攻擊只持續兩個月,而非Google研究人員所說的兩年。
蘋果在貼文中說,Google貼文在iOS修補程式釋出6個月後發布,造成「有大規模利用漏洞情事,以即時監視所有用戶私人活動」的錯誤印象,導致所有iPhone用戶為裝置遭受危害人心惶惶,但「事實並非如此」。
蘋果發言人塞因斯(Fred Sainz)在聲明中表示:「無論攻擊規模如何,我們都非常重視所有用戶的安全和保障。」
Project Zero的研究人員上週說,鎖定iPhone使用網站的「隨機網攻」行為,是藉由網頁植入惡意軟體,以取得手機內的照片和用戶定位等資料。
Project Zero的比爾(Ian Beer)表示:「光是造訪被駭網站,就足以讓利用漏洞的伺服器襲擊你的裝置,如果成功,就會安裝監控程式。」
Google在聲明中支持Project Zero的研究結果,並表示會繼續與蘋果及其他公司合作,協助發現並修復漏洞。
It covers every vulnerability in detail, including root cause analysis, what steps could have been taken to prevent the bugs, and what steps should be taken to ensure they don’t happen again.
聯絡作者:動態骷髏 文章來源We’ll look at how the attackers modify their exploitation techniques over time to defeat new mitigations, and investigate the capabilities of the attacker’s implant to access personal information on the exploited devices.