谷歌公布iOS漏洞：可通過iMessage發(fā)動攻擊

據(jù)美國科技媒體報道，谷歌旗下安全團(tuán)隊Project Zero的兩名成員日前公布了影響iOS系統(tǒng)的6個“無交互”安全漏洞中其中5個的詳細(xì)信息和演示用攻擊代碼。

據(jù)悉，這6個“無交互”安全漏洞可通過iMessage客戶端發(fā)動攻擊。上周，即7月22日，蘋果發(fā)布了iOS 12.4版，修復(fù)了這6個安全漏洞。但是，其中一個“無交互”漏洞的細(xì)節(jié)此次并未公布，是因為iOS 12.4補丁還沒有完全解決問題。

據(jù)谷歌研究人員稱，這6個安全漏洞中的4個可以導(dǎo)致在遠(yuǎn)程iOS設(shè)備上執(zhí)行惡意代碼，而無需用戶交互。攻擊者需要做的只是向受害者的手機發(fā)送一條“錯誤格式”的消息，一旦用戶打開并查看接收到的項目，惡意代碼就會被執(zhí)行。而第5個和第6個漏洞允許攻擊者從設(shè)備內(nèi)存中泄漏數(shù)據(jù)，并從遠(yuǎn)程設(shè)備讀取文件，同樣無需用戶干預(yù)。

根據(jù)漏洞交易平臺Zerodium的價格表顯示，類似于谷歌此次公布的這些漏洞，每條的價格可能超過100萬美元?？梢院敛豢鋸埖卣f，谷歌此次公開的這些漏洞信息的價值遠(yuǎn)超500萬美元，很可能達(dá)到1000萬美元。

在下周于拉斯維加斯舉行的“黑帽”（Black Hat）安全會議上，谷歌安全研究人員將舉行一場關(guān)于遠(yuǎn)程和無交互iPhone漏洞的演示。

谷歌Project Zero安全團(tuán)隊成立于2014年7月，專為第三方軟件尋找漏洞。他們并不會利用這些漏洞，只會對第三方軟件開發(fā)商發(fā)出警告，以避免被惡意利用。(李明)