iPhone漏洞未點擊惡意連結就感染　蘋果釋修正檔

網路安全監督團體今天表示，以色列網路監控公司開發出一種可駭入蘋果iPhone手機的工具，即使未點選惡意簡訊或連結，手機也會遭到感染。蘋果證實出現漏洞，已釋出修正檔。

網路安全監督團體「公民實驗室」（Citizen Lab）這項發現之所以重要，是因為此漏洞會造成極大影響，用戶即使沒有操作，也會遭到入侵，且各版本的iOS、OSX與watchOS無一倖免。

以色列公司NSO集團（NSO Group）開發的間諜軟體「飛馬」（Pegasus）傳出用於監控人權人士、記者甚至元首後，受到外界密切關注。而根據「公民實驗室」說法，NSO開發的一種工具，就是允許駭客使用「飛馬」入侵iPhone，且至少自2月就使用至今。

「公民實驗室」表示，已在沙烏地阿拉伯維權人士的手機上發現被植入上述間諜軟體，而且早在2月就被感染。目前不清楚有多少用戶受害。苦主即使沒有點選東西也會被攻擊，研究人員說，被駭入時沒有任何可見跡象。

路透社報導，這個漏洞存在於iMessage簡訊會自動生成圖片的機制。iMessage一直是NSO及其他網路軍火商下手目標，蘋果（Apple）因此變更了iMessage架構，不過尚未能完全保護系統。

網路安全公司Lookout資深經理施萊斯（Hank Schless）說，飛馬軟體是所謂的「零點擊漏洞」，意謂用戶就算不點選惡意連結或檔案，間諜軟體也會自動安裝。

他說：「許多應用程式會自動幫連結建立預覽或快取，以提升使用體驗。飛馬即利用這種功能悄悄感染裝置。」

飛馬軟體能偷偷開啟手機相機或麥克風，並收集手機資料。

發布修正檔後數小時，蘋果表示公司在「公民實驗室」發現問題後即「迅速」編寫修正檔程式。

（中央社）