谷歌称，恶意网站多年来一直秘密入侵iPhone

 
谷歌的安全研究人员表示，他们已经发现了许多恶意网站，这些网站在访问时可以通过利用一系列以前未公开的软件漏洞悄悄地侵入受害者的iPhone。
谷歌的Project Zero在周四晚些时候发布的一篇深度博客文章中表示，这些网站每周被不知情的受害者访问数千次，他们称之为“不分青红皂白”的攻击。
Project Zero的安全研究员伊恩·比尔说：“只需访问被黑网站就足以让攻击服务器攻击你的设备，如果成功，就安装一个监控植入物。”
他说这些网站在“至少两年”的时间里一直在攻击iPhone。
研究人员发现了五个不同的漏洞利用链，涉及12个独立的安全漏洞，其中7个涉及Safari，iPhone上的内置Web浏览器。五个独立的攻击链允许攻击者获得对设备的“root”访问权限 – 这是iPhone上最高级别的访问和权限。这样，攻击者就可以访问设备通常不受用户限制的全部功能。这意味着攻击者可以在他们不知情或不同意的情况下悄悄地安装恶意应用程序以监视iPhone所有者。
谷歌表示，基于他们的分析，这些漏洞被用来窃取用户的照片和消息，以及近乎实时地跟踪他们的位置。 “植入”还可以访问用户的设备上保存的密码库。
这些漏洞会影响iOS 10到当前的iOS 12软件版本。
谷歌在2月份私下披露了这些漏洞，苹果公司只用了一周的时间来修复漏洞并向用户推出更新。这只是通常给予软件开发人员的90天的一小部分，表明了漏洞的严重性。
苹果公司在六天后发布了针对iPhone 5s和iPad Air及更高版本的iOS 12.1.4的修复程序。
Beer表示，其他黑客攻击活动目前正在进行中。
一般而言，iPhone和iPad制造商在安全和隐私方面拥有良好的说唱力。最近，该公司将安全研究人员的最大漏洞赏金支出增加到100万美元，这些研究人员发现可以默默瞄准iPhone并在没有任何用户交互的情况下获得根级权限的漏洞。根据苹果新的奖励规则 – 将于今年晚些时候生效 – 谷歌将有资格获得数百万美元的赏金