中國為監控新疆打造的iPhone攻擊、多個被駭網站再駭入iPhone、監控「新疆維吾爾族穆斯林」也會對Windows、Android用戶下手

間諜程式藏網站大規模侵入iPhone至少2年,疑意在監控維吾爾人

Google Project Zero發現間諜軟體藉由多個被駭網站再駭入iPhone手機,時間長達兩年。Techcrunch報導,這波行動目的在監控維吾爾穆斯林,但一般人連上網站也會遭殃。

Google 威脅分析小組(Threat Analysis Group,TAG)今年初發現一群網站被駭後,被用來對iPhone用戶進行無差別水坑式(watering hole)攻擊。此類攻擊透過在合法網站植入惡意程式,在任何iPhone用戶登入網站下載到手機上,倘若成功即安裝監控用的程式。估計這些網站每周有數千造訪人次。Google TAG研究發現,5支個別獨立而完整的iPhone攻擊鏈(exploit chain),可導致權限升級攻擊,顯示有一群駭客針對特定iPhone用戶系統性進行長期的駭入,時間最少二年,涵括iOS到iOS 12.1。

Google 另一研究單位Project Zero根據前述研究分析發現,這波行動牽涉高達14個iOS漏洞,包括iOS版Safari漏洞7個、5個核心漏洞及2個沙箱逃逸漏洞。研究人員Ian Beer於上周公佈研究細節。在iOS中的5個攻擊鏈,至少有一個是零時差漏洞且未修補,可植入間諜程式以竊取iPhone用戶的iMessage、相片和GPS座標。經Google今年2月初通報後,蘋果已緊急修補了4項漏洞,包括重大風險的CVE-2019-7287、CVE-2019-7286。

Google作業系統研究員Jonathan Levin指出,這項研究發現的漏洞其實並不新,它新的地方是這些漏洞被用來進行如此大規模的攻擊,因為只要以iPhone存取網站就會被感染,無需用戶點擊或任何動作,可以有效監控許多人。

雖然Google Project Zero研究並未說明被駭的網站有哪些,不過Techcruch上周引述消息人士指出,這些網站入侵行為是國家支持的攻擊行動,可能是中國,而目標則是新疆維吾爾族穆斯林。但是由於這些網站可被Google檢索到,因此非維吾爾族iPhone用戶同樣會被攻擊。消息人士還透露,FBI要求Google將這些網站從其索引中移除。

不過Google、蘋果及FBI皆不願對此評論。

如果報導為真,這將是最新一次中國被揭發,以科技監控新疆地區維吾爾族人。除了部署綿密的監視攝影機外,人權觀察組織Human Rights Watch近日數次指控,中國大規模蒐集及監控新疆民眾的日常生活,利用大數據分析技術部署治安預測(Predictive Policing)專案,標註那些可能對官方造成威脅的個人。警方還會監控當地民眾手機是否安裝了51種被列入黑名單的程式,從 Viber、WhatsApp、Telegram到VPN等。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

傳中國為監控新疆打造的iPhone攻擊鏈,也會對Windows、Android用戶下手

上周Google研究人員揭露「少部份」網站遭駭客用來感染iPhone用戶,但富比世(Forbes)雜誌報導,其實連Windows和Android裝置也未能倖免。

Google Project Zero小組研究人員在報告中揭露,在長達兩年的期間內,iOS裝置遭到水坑式攻擊(watering hole),即在一部份網站遭植入惡意程式,等不幸的iPhone、iPad用戶登入網站後,再入侵iOS漏洞,進而植入間諜程式,蒐集包括相片、IMessage通訊內容及座標位置。共有14項iOS漏洞被組織成5個攻擊鏈,以便駭客發動權限升級攻擊以竊取資料。研究人員估計,這些網站每周訪客約上千人。

Techcrunch則進一步報導,看似不分對象的攻擊,實則有國家在背後支持,是中國政府監控新疆地區維吾爾穆斯林的手段。

就在蘋果不置可否之際,富比世雜誌引述匿名消息人士報導,表示同一批網站其實也會感染Android手機、平板和Windows裝置,而且駭客集團還會隨著時間演進不斷更新攻擊工具,以便涵括不同版本的Android和Windows。

由於Google並未回應上述說法,因此它究竟是不知道,還是刻意未揭露Android也在鎖定之列,目前不得而知。不過富比世雜誌口中的消息人士表示,Google只查到對iOS裝置的攻擊。

微軟則回應,Google並未提供微軟消息,但Google Project Zero早先僅指明攻擊是利用iPhone特定漏洞發動,微軟表示已經著手研究,一旦有發現任何問題,也會採取必要手段確保用戶安全。

如果連Android和Windows也成為這波攻擊的染指對象,則受害範圍無法估計。根據市調公司GlobalStats的數據,截至8月為止,Android市占超過76%,iOS僅22%。若單就裝置作業系統來看,Android(40.39%)、Windows(34.01%)和iOS(14.13%)合計超過89%。

Google團隊揭iPhone資安漏洞,中國疑藉此監控新疆維吾爾族人

距離蘋果(Apple)秋季發表會只剩一週,Google資安團隊Project Zero在此時披露了iPhone存在長達兩年的資安漏洞,為蘋果過去強打的隱私牌,蒙上了一層陰影。

根據Google公佈的資訊,只要用戶不小心造訪惡意網站,駭客便能入侵手機,取得照片、地理資訊、私人訊息等隱私內容。

過去一年多來,蘋果時常以隱私為iPhone的賣點,並對疏於保護用戶隱私的企業,如Facebook,祭出強力制裁。

今年1月舉辦的CES展上,蘋果的廣告標語便是「在你iPhone上發生的所有事,都只會留在你的iPhone上」;3月推出廣告中,也宣稱「隱私,那就是iPhone」,企圖創造品牌與隱私間的強力連結。

造訪網站就會中獎,照片、私密通訊全被駭客掌握

在Project Zero團隊發現問題,通報蘋果後,官方已在今年2月發布的iOS 12.1.4版本中完成修復,這也是為何現在Google能夠公開談論這些漏洞的原因。

Google指出,他們總共發現了14種不同的資安漏洞,7個牽扯上iPhone網頁瀏覽器;5個涉及核心(kernel);還有2個與沙盒逃逸(sandbox escape)有關。由於入侵門檻很低,Google估計每週都有數千位iPhone用戶成為這些惡意網站的受害者。

若用戶誤闖惡意網站,導致手機被植入惡意程式的話,駭客將能取得加密通訊服務內的資料,如WhatsApp、Telegram及iMessage等服務都難以倖免。同時惡意程式可以取得iPhone內幾乎所有個人資訊,並傳輸回駭客的伺服器上。

不過,只要重新啟動iPhone,惡意程式就會從手機內消失,除非用戶再次造訪惡意網站,否則不會被數度入侵,再加上蘋果早已完成修復,iPhone用戶目前暫時可以放心。

傳中國政府成漏洞利用者,監控新疆維吾爾族人

讓人難料的是,就在Google公佈漏洞後隔兩天,一連串更重大的問題陸續被各家媒體揭露。

外媒《富比士》指出,中國政府曾利用此漏洞,企圖監控新疆穆斯林的動向,並同時向Android、Windows系統進行攻擊,以針對維吾爾族的釣魚廣告誘使監控目標上當。

且結合消息來源與Google的說法,這個漏洞衍生出的攻擊屬於無差別式,即使訪問網站者並非維吾爾族人,依舊會成為駭客的入侵目標。

Google在今年2月發現這些漏洞,並限時一週要求蘋果改善。然而,Google並未透露任何惡意網站網址,目前沒有人能確定哪些網站成為駭客散布惡意程式的據點。

也因此,中國利用漏洞監控的消息,仍止於消息來源指控的程度,尚未有確鑿的證據。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Google揭多個iOS漏洞指iPhone用戶長期受攻擊,Apple:沒這麼嚴重

Apple發出官方聲明,反駁Google日前揭露iOS一系列漏洞時,稱這些漏洞被用來發動有史以來針對iPhone用戶最大規模攻擊的說法,Apple表示,使用這些漏洞進行的攻擊複雜且狹隘,並經過調查,駭客主要發動攻擊的時間僅有2個月,非Google所暗示的2年。

Google在8月底揭露了iOS零時差漏洞資訊,文章提到,由於這一系列的漏洞,讓iPhone使用者深陷廣泛且長期的無差別攻擊威脅。整體攻擊的輪廓並不清楚,但受害者僅是瀏覽網站,就能被植入惡意軟體,惡意軟體可以竊取WhatsApp、Telegram、iMessage以及其他通訊軟體的訊息內容,並且即時追蹤裝置位置並竊取使用者的密碼。

Google在漏洞揭露的文章中提到他們所發現的5個iPhone攻擊鏈,時間從2016年9月Apple釋出iOS 10開始,到2019年1月iPhone Xs/Xr發表所釋出的iOS 12,共計14個漏洞,部分漏洞為零時差漏洞。雖然Apple已經在今年2月的時候修補這些漏洞,但是外國媒體TechCrunch報導,中國政府利用了這些漏洞,監控維吾爾族穆斯林的私人活動。

Apple現在發出聲明試圖澄清Google的說法,聲明主要有兩點,首先,Apple認為這些漏洞被用來發動的攻擊,是複雜且範圍狹隘,攻擊僅影響少數的維吾爾族社群的網站,並非Google所描述的「iPhone受大規模攻擊」,同時也反駁「即時監控整個人口的私人活動」的說法,Apple澄清,從來沒有這樣的案例發生。

第二,Apple表示,根據所有的證據顯示,這些網站的攻擊活動僅能短時間執行,持續時間約2個月,並非Google在文章中暗示的2年。Apple強調,他們在10天內就修補了所有漏洞,在2月完成修復,而且是在Google通報之前,他們就已經開始著手修復這些漏洞。

Apple在聲明的最後強調,iOS的安全是無與倫比的,他們對硬體以及軟體負起端到端的安全責任。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏
Forums  ›  📰新聞  ›  中國