iOS iMessage 的漏洞,這個漏洞最可怕的地方在於,用戶就算沒有打開訊息,手機還是會被入侵,所以 Apple 於 2021/9/14 就發補緊急修補的更新程式。
已經過一段時間,iPhone / iOS 系列大家都很習慣更新,來記錄這個非常先進的漏洞運用手法。
利用 iMessage 漏洞,知道電話號碼即可入侵 iPhone
下述整理自此篇:知道號碼就能成功入侵iPhone Google團隊評價「最先進的漏洞運用技術」
- Google旗下的資安團隊 Project Zero team 官方部落格發文
- 以色列網路情報公司 NSO Group 所開發的軍用級別監控軟體 Pegasus,只要知道被入侵目標的 電話號碼 或 Apple ID,就可以透過 iMessage 傳送特定的 GIF 檔,當手機在進行 GIF 分析的過程中,就可以直接入侵手機植入 Pegasus。而且 使用者就算沒有打開傳送過來的 GIF,手機同樣也是會被成功入侵。
- 只要入侵成功後,透過 Pegasus 的功能,就可以取得 iPhone 的手機權限,不僅能夠查看儲存在手機內的密碼,同時也可以操控麥克風進行竊聽,甚至是操作 GPS 判斷出被入侵者的大致位置。
- 這個入侵手法主要是運用蘋果 CoreGraphics 資料庫編號 CVE-2021-30860 漏洞,而這個攻擊手段對於漏洞的運用手法「是我們見過技術最先進的」
