0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

苹果曝出安全漏洞:iOS 14 以上设备都可能中招被窃听所有信息

工程师邓生 来源:雷锋网 作者:刘琳 2020-12-22 09:53 次阅读

黑客总是有办法黑进你的 iPhone

不信你看。

来自公民实验室 (Citizen Lab)的研究人员表示,他们发现,有证据表明数十名记者的 iPhone 秘密被间谍软件攻击,且这些软件都是被国家所使用。

而且该漏洞已存在一年之久,ios13.5.1 和可能的其他版本都有可能中招 。..。..

更为可怕的是这种攻击方式没有任何痕迹,也不需要你打开任何恶意链接,黑客就能黑进你的 iPhone , 访问你的密码、麦克风音频,甚至抓拍照片。

也就是说,你的秘密都荡然无存了。

不过,根据公民实验室的研究报告,黑客的攻击目标似乎不是个人。这些手机的主人包括记者、制片人、主播和新闻采集机构的高管,主要目标则是半岛电视台。

漏洞是如何被发现的?

据报道,这些攻击使用的是 NSO Group 的 PegASUS 间谍软件,尤其是一个被叫做 Kismet 的漏洞。

根据百度百科介绍,NSO Group 是 以色列数十家数字间谍工具开发公司之一,它们的产品可追踪智能手机上的任何活动。他们主要为世界各国政府和执法机构提供服务。它最得意的网络武器 Pegasus,就是一款可以监控目标人物的手机间谍软件。

最大功能是从受害者的手机访问大量隐私数据,更直白地说,是专门窃取记者、外交官、人权活动家、政府高级官员等敏感人群的重要信息

被各界称为 “杀人软件”,能实现无感知、难溯源、长期持续、精准定向的网络入侵、监听、攻击等活动。

而研究人员发现的漏洞攻击也是从记者身上开始的。

今年早些时候,半岛电视台调查记者 Tamer Almisshal 怀疑自己的电话可能被窃听,多伦多大学的互联网监管机构 Citizen Lab 被委任调查此事。

研究人员在一份技术报告中表示,他们认为这两名记者的 iPhone 感染了由以色列 NSO Group 开发的 PegASUS 间谍软件。

研究人员分析了 Almisshal 的 iPhone 并发现在 7 月至 8 月期间它曾跟 NSO 用来传送 Pegasus (飞马软件)间谍软件的服务器连接。该设备显示出一系列网络活动,这表明间谍软件可能是通过 iMessage(即时消息) 悄悄发送的。

而手机日志也显示,间谍软件可能会秘密记录麦克风和电话通话、使用手机摄像头拍照、访问受害者的密码并跟踪手机的位置。

根据调查,这些入侵活动可能从 2019 年 10 月就开始了。

更为可怕的是,你的 iPhone 被攻击后,你是完全无法感知的。

那么,你的哪些信息最危险呢?

据研究人员的介绍,一旦被攻击,目标用户的 iPhone 就会在用户不知情的情况下开始上传大量数据,有时总计达数百兆字节。比如正在传输的数据包括麦克风录制的环境音频、加密电话内容、摄像头拍摄的照片、设备的位置以及可能存储的任何密码或账户凭证。

你的隐私一览无余。

这也太可怕了。

随后,NSO 否认了这一猜测。

NSO 发言人表示:

这是我们第一次听到这些断言。正如我们一再声明的那样,我们无法获得任何与个人身份有关的信息,据称我们的系统被用来对这些个人进行监视。然而,当我们收到滥用的可信证据,以及被指控目标和时间框架的基本标识符时,我们会根据产品滥用调查程序采取一切必要措施来审查这些指控。

我们知道公民实验室定期发布基于不准确假设和不完全掌握事实的报告,该报告可能会遵循 NSO 提供的产品使政府执法机构能够仅应对严重的有组织犯罪和反恐的主题,但正如过去所述,我们不操作这些产品。然而,我们致力于确保我们的政策得到遵守,任何违规证据都将受到认真对待和调查。

但 Citizen Lab 却依旧坚持自己的主张。

NSO 为何被怀疑?

在安全圈,来自以色列的 NSO 集团,是世界上最秘密的监视技术制造商,也是令人闻风丧胆的 “网络军火商”。

而该公司最得意的产品之一就是 Pegasus。

据统计,Pegasus 被用在全球至少 45 个国家,至少 10 个攻击组织在进行着活跃的跨境入侵监控行为。

而如前文中所述,研究人员在被攻击的记者手机中也发现了 Pegasus 的踪迹,这是其一。

其二,从入侵手段来看,Pegasus 是有很多 “前科”的。

2016 年,阿联酋著名人权捍卫者艾哈迈德 · 曼索尔(Ahmed Mansoor)联系到 Citizen Lab 组织,分享了自己手机中包含 Pegasus 的消息,而经 Lookout 公司研究发现,最终以报告的形式,向世人揭露了 Pegasus 手机监测软件的丑陋面容。

2017 年,墨西哥调查记者 Javier Valdez 被人从车内拖出,连射 12 枪,倒在了自己一手创办的《Riodoc》周刊编辑部附近。

枪击案前,Javier Valdez 和同事们收到了精心设计的短信,手机在无感知的情况下被安装了 Pegasus 软件。从此,手机像打开了大闸,各种私人邮件、敏感信息、图片视频源源不断被送到犯罪分子手中,一场惨剧由此酿成。

2019 年,Facebook 与 NSO 集团展开了长达 210 天的诉讼案。

诉讼原因是 Facebook 发现 NSO 利用 WhatsApp 中的一个严重漏洞(CVE-2019-3568),可以在用户没有接听的情况下,非法入侵手机,并在 Android 和 IOS 上远程安装 Pegasus。

更让人感到害怕的是,以往指向 NSO Group 的 Pegasus 攻击活动,可能需要用户自己点击短信中的链接,手机就会被强行安装 Pegasus 。

而这一次的攻击不同,甚至无需用户点击任何链接,他们就能黑进你的 iPhone “作恶”了。

也就是说,为了避免成为被攻击的对象,现在唯一的办法就是换一个新手机了。

责任编辑:PSY

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 苹果
    +关注

    关注

    61

    文章

    24401

    浏览量

    198654
  • 安全系统
    +关注

    关注

    0

    文章

    410

    浏览量

    66925
  • iOS
    iOS
    +关注

    关注

    8

    文章

    3395

    浏览量

    150587
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15371
  • 窃听器
    +关注

    关注

    2

    文章

    12

    浏览量

    8845
收藏 人收藏

    评论

    相关推荐

    对称加密技术有哪些常见的安全漏洞

    对称加密技术在实际应用中可能面临的安全漏洞主要包括: 实现不当: 错误的加解密实现、弱随机数生成器或其他逻辑错误都可能导致安全漏洞漏洞
    的头像 发表于 12-16 13:59 77次阅读

    物联网系统的安全漏洞分析

    设备制造商的安全意识不足 许多物联网设备制造商在设计和生产过程中,往往忽视了安全问题,导致设备存在先天性的
    的头像 发表于 10-29 13:37 365次阅读

    如何使用 IOTA 分析安全漏洞的连接尝试

    在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以了解如何识别不当行为,并采取适当的措施来保护您的网络和数据。我们将深入研究IOTA的工作流程,以了解如何准确地分析连接尝试,并识别
    的头像 发表于 09-29 10:19 264次阅读
    如何使用 IOTA 分析<b class='flag-5'>安全漏洞</b>的连接尝试

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的
    的头像 发表于 09-25 10:25 402次阅读

    苹果macOS 15 Sequoia将修复18年老漏洞,筑牢企业内网安全防线

    8月8日,网络安全领域传来重要消息,一个长达18年的安全漏洞正在被黑客广泛利用,以入侵企业内网,威胁企业信息安全。幸运的是,苹果公司已确认在
    的头像 发表于 08-08 17:16 470次阅读

    从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应

    ,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给企业带来严重的安全威胁和经济损失。 近日,OpenSSH出了一起严重的0day漏洞
    的头像 发表于 07-10 10:29 1511次阅读
    从CVE-2024-6387 OpenSSH Server <b class='flag-5'>漏洞</b>谈谈企业<b class='flag-5'>安全</b>运营与应急响应

    IOS12以上搜索不到蓝牙是怎么回事?

    现在是这样的,IOS12以下测试能够搜索到设备蓝牙。但是IOS12以上就都搜索不到。 是什么原因呢?
    发表于 07-02 08:03

    苹果修复iOS 14以上系统中“允许App请求跟踪”灰色问题

    5 月 18 日,苹果公司发表公告称,已经修复了 iOS 14 及其以上系统中“允许 App 请求跟踪”变灰的问题,并承诺在数日内恢复受影响用户的原有权限。
    的头像 发表于 05-18 14:26 776次阅读

    PuTTY等工具严重安全漏洞:可还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
    的头像 发表于 04-18 10:06 664次阅读

    LG智能电视被存四安全漏洞,影响超9万台设备

    漏洞利用了3000/3001端口上运行的服务,主要为智能手机提供PIN接入功能。Bitdefender指出,虽然这些漏洞应仅限局域网使用,但Shodan扫描显示,约有91000台潜在易受攻击的LG设备
    的头像 发表于 04-10 14:12 572次阅读

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 729次阅读

    苹果Apple silicon芯片安全漏洞 修复将牺牲大量性能

    洞见分析
    电子发烧友网官方
    发布于 :2024年03月22日 11:28:23

    物联网边缘设备安全:IIoT安全的硬件解决方案

    IIoT环境中存在的安全漏洞可能会给犯罪分子以可乘之机,终将导致企业机密泄露或敏感数据丢失,比如产品制造蓝图或关键业务信息等。
    发表于 02-28 09:25 743次阅读
    物联网边缘<b class='flag-5'>设备</b><b class='flag-5'>安全</b>:IIoT<b class='flag-5'>安全</b>的硬件解决方案

    Cybellum汽车检测平台被漏洞,官方回复!全球汽车安全监管持续升级

    了业内人士关注。 01知名安全平台被漏洞,官方反应迅速 据报道,星舆实验室安全研究员@Delikely与中国汽研安全研究员@Imweeke
    的头像 发表于 02-26 14:12 377次阅读
    Cybellum汽车检测平台被<b class='flag-5'>曝</b><b class='flag-5'>漏洞</b>,官方回复!全球汽车<b class='flag-5'>安全</b>监管持续升级

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由
    的头像 发表于 01-18 14:26 678次阅读