苹果秋季新品发布在即,谷歌却公布了iPhone手机的严重漏洞
发布时间:2019-09-25 | 发布者: 东东工作室 | 浏览次数: 次
小刀马
众所周知,苹果马上就要召开其秋季发布会了,而每年的秋季发布会也是苹果公司推出新旗舰iPhone等产品的关键发布会。可以说,苹果公司的新硬件产品就指望秋季发布会来问世了。不过,在今年的秋季发布会召开之际,谷歌却发布了苹果iPhone存在着严重的漏洞,有可能影响数千人的数字(手机)安全行为。
近日,谷歌发布了一份关于苹果操作系统漏洞的深度研究汇编。这项研究全面地披露了iPhone存在着漏洞,据悉,这些漏洞对大多数iPhone用户的影响可能并不大。此外,在苹果发起一场在隐私和安全方面凸显其产品差异化的运动之后,谷歌正利用这项已汇编的研究成果公开抨击苹果。
蒂姆-库克(Tim Cook)曾公开批评影响谷歌和Facebook等公司的安全和隐私问题。而谷歌正利用编译后的Project Zero研究作为对抗苹果隐私营销的一个对策。谷歌的报告称:“真正的用户是根据公众对这些设备安全性的认知来做出风险决策的。”“现实仍然是,如果你成为攻击目标,安全保护永远无法消除攻击风险。”
那些直接受到苹果隐私保护运动和高管言论攻击的公司,已经采取了一系列行动予以反击。Facebook前首席安全官亚历克斯-斯塔莫斯在社交媒体上回应今天的苹果新闻时说:“这是谷歌团队的一个巨大发现。”谷歌CEO 桑达尔-皮查伊也对苹果进行了抨击,称在过去“隐私不可能是奢侈品”。预计苹果的隐私和安全问题将会受到更多质疑和攻击。苹果正寻求在安全方面进一步彰显自己的与众不同。
据谷歌表示,对iPhone的攻击持续了30个月,黑客们利用一小部分已被入侵网站,将恶意软件传递给iPhone用户。用户只要访问网站即被入侵,无需进行任何交互,黑客使用的方法甚至可以完全影响到最新的手机。一旦被黑客入侵,用户的秘密就会暴露给入侵者。他们的位置将每分钟上传一次;他们的设备的密钥,包含他们所有的密码,以及手机中应用程序的聊天记录、通讯录、通话记录、短信和Gmail都会被上传。
不幸中的万幸是这种入侵不会持续性地进行。当手机重新启动时,除非用户重新访问被入侵网站,否则入侵将被清除。然而,根据谷歌信息安全团队成员Ian Beer的说法,“即使他们无法访问设备,但是由于信息被窃取,黑客仍然可以通过使用被盗的密钥验证身份,进而保持对各种账户和服务的访问。”据悉,总共有14个漏洞被用于iOS的入侵,涉及五个不同的“漏洞链”:一系列漏洞链接在一起,黑客可以从一个漏洞跳到另一个漏洞,每次都会增加入侵的严重性。
谷歌的分析师还表示,“对于黑客来说这是一个失败的案例,因为尽管该入侵很危险,但它还是被发现并且被迫中断。几乎可以肯定的是,还有其他一些入侵操作尚待发现。用户所能做的就是提前意识到入侵操的存在,并且需要采取相应行动。”这些黑客攻击是iPhone上所罕见的,iPhone通常被认为是高度安全的设备。苹果公司悬赏100万美元,奖励那些能在其设备上发现关键漏洞的安全研究人员。通常,对iPhone的攻击很难实施,而且通常仅限于国家之间的间谍活动。目前还不清楚这次攻击的幕后主使是谁,其可能危及数百万台设备,而且只需用户访问这些网站一次。
也有安全分析师表示:“针对iPhone的攻击一直都是可能的,但由于攻击的成本太高,这些病毒从未被用于类似这种公开市场的黑客入侵。过去,iOS恶意软件主要用于国家间的针对性攻击。通过针对特定的人群,这些攻击限制了所使用漏洞的暴露范围,因此不太容易被苹果公司发现。”谷歌的团队发现,该攻击在五个独立的攻击链上使用了14个零日(zero-day)漏洞。这些漏洞的影响范围从iOS 10覆盖到目前的iOS 12,这意味着黑客针对iPhone用户的攻击至少持续了两年。
谷歌的研究人员说,由于恶意软件的深度访问,它甚至可以在信息加密之前获取用户聊天信息的内容。恶意植入物可以访问设备的密钥链,其中包括WhatsApp、Telegram和iMessage等端到端的加密聊天应用所使用的密码和数据库文件。当这些攻击窃取人们的个人信息时,它们发送的数据没有加密,这意味着同一Wi-Fi网络上的任何人都可以看到所有被盗的内容。可以说,在这个技术不断进步的年代,任何设备也不可能独善其身,受到攻击在所难免,而如何规避被攻击最好的办法就是不断地修复自身的Bug。
苹果公司一直宣称自己的系统最安全,自己的终端在安全方面享受着更好的保护,但其实并不是铁板一块,照样会遭受攻击。即使最新的系统也可能受到攻击并且极有可能被攻破,因此过于强调安全或许更加激励黑客的“攻坚克难”愿望,这一点其实对苹果也是不利的。营销安全和隐私的一种保障,是苹果强调不同于竞争对手的关键所在,但远不是牢不可破的。