利用4個零日漏洞　最高深的iPhone駭客攻擊事件

編譯／Cynthia

全球網路安全局勢再度受到極大的震撼，近期一家俄羅斯網路安全公司Kaspersky揭露一場前所未見的iPhone駭客攻擊事件，被稱為「最複雜的攻擊鏈」。這次攻擊始於2019年，經過多年的發展，成功地突破Apple iOS裝置的硬體保護，引起全球廣泛的關注。

攻擊的起源

這場攻擊的起點令人吃驚是一則iMessage，透過自動觸發附件，駭客取得進入iOS裝置的權限。Kaspersky報告指出，這種零時差攻擊手法讓人嘆為觀止，特別是駭客能夠自動處理附件，無需使用者介入，成功取得更高的權限。

更多新聞：蘋果修補多個嚴重安全漏洞　推出iOS和macOS安全更新

四個零日漏洞

這次攻擊的成功手法來自於利用四個零日漏洞，巧妙地組合成一條攻擊鏈。其中最受矚目的是CVE-2023-38606，透過這個未知的硬體特性，駭客成功繞過Apple仿生晶片A12至A16型號的硬體安全保護，完全掌握系統的控制權。儘管Apple於2023年1月釋出相應的更新修補，但有關攻擊的詳細內容一直保密到2023年9月8日才曝光。

硬體安全的挑戰

這次攻擊彰顯硬體安全的一大問題，即「隱匿性安全」（Security through obscurity）。特別是當駭客能夠利用未知的硬體特性進行攻擊時，硬體安全變得更加複雜且充滿挑戰。安全研究人員Boris Larin指出，雖然「模糊性」在硬體安全上是一種手段，但長期以來卻未必是最有效的方法。

Pegasus間諜軟體的影響與警告

這場攻擊同時涉及到Pegasus間諜軟體的活動，引發了Apple在印度的警告。Apple在印度釋出的警告指出，印度記者和在野黨政治人物可能成為國家支持的間諜軟體攻擊的目標，引起印度政府的質疑，並將其視為「技術問題」。

強化硬體和軟體安全的迫切需求

全球最高深的iPhone駭客攻擊事件引起極大的震撼，不僅挑戰了Apple的iOS安全，也對全球數位安全提出新挑戰。這次攻擊的複雜性促使我們重新思考硬體和軟體安全的重要性。各方人員必須攜手合作，不斷強化安全機制，以因應未來更加複雜的威脅。攻擊的揭露也提醒我們，即使在硬體層面，「隱匿性安全」並非持久有效的方法。維護數位安全需要更堅固的防護措施，以確保用戶數據和隱私的安全。

資料來源：The Hacker News

瀏覽 508 次