事實還是謠言?瀏覽惡意網站即能入侵iPhone!

雖然坊間一直流傳 iPhone 可以完全免疫一切威脅,但時間證明了它並沒有想像中般銅牆鐵壁。儘管 Apple 的智能電話用戶比 Android 裝置較難會被攻擊,不時也有傳言只要用戶打開危險的網頁,裝置也會受到惡意程式的感染,不用下載或安裝任何東西,到底熟真熟假?以下的文章就是揭露當中的真相。

真相:惡意網站破解 iPhone 保安機制超過兩年
Google Project Zero 的研究人員在較早前發現數個被入侵的網站,至少攻擊 iPhone 裝置兩年之久。要達到目標,攻擊者利用了 14 個軟件漏洞去實行,其中 7 個存在於 Safari,iPhone 用戶大量使用的瀏覽器。另外兩個漏洞容許惡意程式逃避「沙盒」,iOS 以它防止一個應用程式存取其他應用程式的資料。而最後 5 個則影響 iOS 的核心 (Kernel),操作系統的中央元件,攻陷 Kernel 令攻擊者得到 root 權限,這些權限連 iPhone 持有者也並不擁有。

那些惡意網站能夠攻擊接近全部 iOS 版本,由iOS 10 至 iOS 12,攻擊者對付系統更新改變了策略,把所有集中力放在新漏洞之上。

被感染 iPhone 的後果
惡意網站可以安裝間諜程式到受害者的裝置內,包括取得裝置的無限存取權限,並且在暗地裡工作,用戶無法得知,然後每分鐘由裝置盜取和傳送資料到 C&C 伺服器,間諜程式最感興趣的項目包括:

  • 儲存在 iCloud Keychain 的密碼和身份驗證資料,攻擊者能夠利用這些資料存取受害者的帳號,即使間諜程式被移除仍然能夠繼續盜取資料。
  • iMessage、Hangouts、Telegram、Skype、Voxer、Viber 和 Whatsapp 內的訊息,惡意程式從應用程式資料庫中盜取資訊,訊息在那裡沒有加密保護。
  • Gmail、Yahoo、Outlook、QQmail 和 MailMaster 中的訊息,間諜程式同樣能夠從相應的應用程式資料庫中收集訊息。
  • 通話紀錄和 SMS
  • 如果裝置開啟了 GPS 就可收集即時資訊
  • 通訊錄
  • 照片
  • 備忘錄
  • 語意備忘錄

此外,如果 C&C 伺服器發出指令,惡意程式能夠把裝置上的應用程式連內裡的資料向外傳送,而且發送的資料全部沒有加密保護,如果該受感染的 iPhone 以公共 Wi-Fi 連線,傳送的資料不但攻擊者,其他人也能夠看到受害者的密碼、訊息或其他被惡意程式傳送。

值得注意的是,間諜程式的開發人員並不在意惡意程式能否在系統上站穩陣腳,它會隨著裝置重新啟動而消失,但是與惡意程式能立即盜取的資料相比,它會消失只是一個小安慰。

威脅已經過去?還是沒有終結…?
Apple 的開發人員已經把被網絡罪犯利用的漏洞堵塞,成為 iOS 12.1.4 更新的一部份,最新版本的操作系統也對上文提及的攻擊提供保護。不過,根據專家觀察,惡意網站每星期都有數千用戶瀏覽,意味著可能依然有大量受害者。此外,即使網頁現時已被化解威脅,將來可能會被載有新漏洞攻擊的網站取而代之。

避免 iPhone 受感染的兩大要點
iPhone 可以被惡意網站感染並非單是傳言,而後果可以十分嚴重,所以用戶要多加小心,即使有人說你的裝置不受任何威脅。

  • 確保更新到 iOS 最新版本,盡快下載更新,開發人員會修復被網絡罪犯利用的安全漏洞。
  • 不要點擊由陌生人發出的廣告、電郵或訊息連結,即使是搜尋器的搜尋結果也要加以留神,如果有任何懷疑都不應打開。

雖然以現時的網絡安全技術,以上提及的威脅都可以加以攔截,可惜 iOS 上沒有功能完整的防毒軟件能夠上架,用戶只能自己保護自己。

Comments are closed