iPhone爆史诗级漏洞！知道电话就被监控 专家惊叹：国家级骇客

iPhone爆重大漏洞，连Google也称这是“有史以来最高明的漏洞”。Google旗下资安团队Project Zero team解析一款监控软件Pegasus骇进iPhone的手法，只需获得对方电话号码或Apple ID，即会透过iMessage传送假GIF档案，趁手机分析图片之际，获得手机权限监控。

综合外媒报道，以色列资安业者NSO Group藉由Forcedentry攻击程序骇入iPhone，再植入Pegasus作为监控、窃听。Project Zero team研究人员解析攻击过程，形容其堪比国家级骇客，且是史上最高明的漏洞攻击。

Google表示，Forcedentry主要透过“零点击”的模式攻击，骇客藉由iMessage传送假的GIF档案，而在点进视窗显示图片的同时，手机已经在分析图片，这时骇客就已经趁虚而入，也就是说骇客根本无需和用户互动，只需获得电话号码或是Apple ID的使用者名称，就可进行攻击。

而在成功侵入后，Forcedentry程序就可获得手机权限，进而监控密码、窃听麦克风等；研究人员称，这手法掩蔽性极高，且防不胜防，主要是透过苹果CoreGraphics数据库编号CVE-2021-30860漏洞，不过苹果已于9月完成修补；此外，Google也提醒，NSO Group疑也有针对Android版本的攻击工具，但目前缺乏样本研究。

报道指出，传闻有专制组织已经透过Pegasus监控一些异议人士、人权斗士，甚至是记者，而软件也引起美国政府疑虑，并将NSO Group列为黑名单