社区编辑申请
注册/登录
Google研究人员:Pegasus iPhone攻击是有史以来最复杂的漏洞之一
安全
在研究了多次成为头条新闻的iMessage安全漏洞后,来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。

现在已经打了补丁的Pegasus iPhone攻击是近年来看到的最复杂的攻击之一。在研究了多次成为头条新闻的iMessage安全漏洞后,来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。

他们称,NSO集团的工具在复杂程度上跟民族国家间谍工具不相上下。而NSO的客户--包括极权主义政权--已经使用PegASUS来监视毫无戒心的iPhone用户。这种零日攻击通过iMessage在iPhone上安装恶意代码,而用户甚至没有都没有信息互动--这就是它的可怕之处。

Pegasus iPhone攻击已经给公司带来了相当戏剧性的后果。美国政府在Pegasus事件被披露后将这家以色列安全软件开发商列入禁止名单。此外,苹果在修补安全漏洞后起诉了这家公司。另外,苹果已经开始通知过去可能成为Pegasus目标的iPhone用户。

Pegasus受害者名单通常包括持不同政见者、记者或政治家,而非普通的终端用户。苹果已经发布了补丁以化解让Pegasus悄悄入侵iPhone的安全漏洞的风险。来自Project Zero的Google安全研究人员则获得了Pegasus的样本并确定了这个先进间谍工具在iPhone上的工作方式。

NSO集团可怕的复杂iMessage攻击

Project Zero的Google研究人员公布了Pegasus分析的第一部分。他们还跟The Wired分享了Pegasus如何在目标不知情的情况下入侵iPhone的简要说明。

Project Zero的Ian Beer和Samuel Groß告诉The Wired:“我们还没有见过这样一个被外部利用的漏洞从如此有限的起点建立起同等的能力,如不跟攻击者的服务器互动、无需加载JavaScript或类似的脚本引擎,等等。在安全界有许多人认为这种类型的利用--单次远程代码执行--是一个已解决的问题。他们认为,移动设备所提供的缓解措施的分量太重无法建立一个可靠的单次攻击的漏洞。这表明,它不仅是可能的,而且在野外被可靠地用来对付人。”

Pegasus如何攻击iPhone

ForcedEntry是iOS漏洞的名称,它让Pegasus的iPhone黑客攻击成为可能。NSO的黑客们想出了一个办法,利用iMessage处理GIF文件的播放方式将一个伪装成GIF的PDF文件偷偷带入。然后他们利用了一个压缩工具的漏洞,该工具处理来自物理扫描仪的图像中的文本。这个可以追溯到20世纪90年代的工具仍在像iPhone这样的现代计算机中找到它的方式。

如果这还不够,ForcedEntry建立了一种虚拟计算机,然后在iMessage中运行。这是因为恶意软件需要跟一个指挥和控制中心进行对话,而该中心会发出指令。这种行为使攻击更难被发现。

另外,Pegasus还不需要用户的任何输入,攻击者只需要一个电话号码或苹果ID就可以通过iMessage发送有效载荷。屏幕上不会显示任何信息。一旦无形的信息进入iPhone,iPhone攻击就会成功。从那时起,目标根本就不知道有人闯入他们的iPhone。

Project Zero研究人员在谈到ForcedEntry时感叹道:“这太不可思议了,同时也非常可怕。”

运行最新iOS版本的iPhone用户有反Pegasus的保护措施。这并不意味着类似的安全公司已经停止为iPhone设计间谍工具,只是ForcedEntry攻击将不再适用于运行最新软件的设备。

另外,Pegasus的目标已经开始收到苹果关于黑客攻击的通知。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-06-15 09:15:35

​CloudflarHTTPS DDoS攻击

2022-06-14 23:34:10

Linux安全服务器

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-20 14:57:50

漏洞安全威胁

2022-06-09 18:04:46

网络攻击网络安全

2022-06-15 14:40:54

英特尔漏洞

2022-06-28 12:14:02

DockerLinux

2022-06-28 09:26:25

Python配置文件

2022-06-23 12:03:00

网络安全网络安全事故

2022-06-15 18:57:43

人工智能

2022-06-17 09:47:04

Linux命令

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

2022-06-20 15:31:11

GoogleSOC网络安全

2022-05-24 16:58:31

DDoS安全黑客

2022-06-16 07:32:38

VSCodePython插件

2022-06-29 09:58:53

物联网供应链

2022-06-25 21:22:30

编程Rust代码

2022-06-22 10:23:42

互联网用户IE浏览器退休

2022-06-29 16:33:52

安全信息泄露信息安全

2022-06-24 10:52:47

人工智能作业帮T前线

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号