iPhone爆史诗级漏洞！知道电话就被监控 专家惊叹：国家级骇客

iPhone爆大漏洞，传1张图片就中招。（示意图／达志影像）

iPhone爆重大漏洞，连Google也称这是「有史以来最高明的漏洞」。Google旗下资安团队Project Zero team解析一款监控软体Pegasus骇进iPhone的手法，只需获得对方电话号码或Apple ID，即会透过iMessage传送假GIF档案，趁手机分析图片之际，获得手机权限监控。

综合外媒报导，以色列资安业者NSO Group借由Forcedentry攻击程式骇入iPhone，再植入Pegasus作为监控、窃听。Project Zero team研究人员解析攻击过程，形容其堪比国家级骇客，且是史上最高明的漏洞攻击。

Google表示，Forcedentry主要透过「零点击」的模式攻击，骇客借由iMessage传送假的GIF档案，而在点进视窗显示图片的同时，手机已经在分析图片，这时骇客就已经趁虚而入，也就是说骇客根本无需和用户互动，只需获得电话号码或是Apple ID的使用者名称，就可进行攻击。

而在成功侵入后，Forcedentry程式就可获得手机权限，进而监控密码、窃听麦克风等；研究人员称，这手法掩蔽性极高，且防不胜防，主要是透过苹果CoreGraphics数据库编号CVE-2021-30860漏洞，不过苹果已于9月完成修补；此外，Google也提醒，NSO Group疑也有针对Android版本的攻击工具，但目前缺乏样本研究。

报导指出，传闻有专制组织已经透过Pegasus监控一些异议人士、人权斗士，甚至是记者，而软体也引起美国政府疑虑，并将NSO Group列为黑名单。