Google資安團隊發現駭客攻擊iPhone,蘋果證實是鎖定維吾爾人

我們想讓你知道的是
大多數遭鎖定的漏洞是在iPhone的Safari預設瀏覽器,從iOS 10到目前iOS 12版本幾乎每個作業系統都有發現漏洞。使用者的iPhone一旦被植入,惡意軟體每60秒就會將使用者的即時所在位置等竊得的資料,回傳至「指揮控制伺服器」。
(中央社)谷歌(Google)的資安專家公布一項至少已歷時2年、鎖定iPhone進行「隨機網攻」駭客行為,藉由網頁植入惡意軟體以取得手機內的照片和使用者的定位等資料。
科技媒體TechCrunch引述知情人士披露,多個惡意網站2年來用於駭入iPhone,對象疑鎖定維吾爾穆斯林,相關惡意網站恐為國家級駭客攻擊的一環,用於鎖定在中國新疆維吾爾自治區的維族社群。
《法新社》報導,Google資安團隊Project Zero在部落格貼文裡沒指名發動攻擊的網頁名稱,但估計相關網頁一週會有數千人造訪。
Project Zero資安專家比爾(Ian Beer)表示,一旦被植入,惡意軟體「主要會竊取檔案、上傳即時位置資料」,還能進入像Telegram、WhatsApp、iMessage等這類加密的即時通訊應用程式。
比爾在貼文裡還指出,連Google Hangouts與Gmail也被影響。Project Zero貼文還詳細介紹惡意軟體如何針對和利用iPhone漏洞進行破壞。
他指出,大多數遭鎖定的漏洞是在iPhone的Safari預設瀏覽器,Project Zero團隊在從iOS 10到目前iOS 12版本幾乎每個作業系統都有發現漏洞。使用者的iPhone一旦被植入,惡意軟體每60秒就會將使用者的即時所在位置等竊得的資料,回傳至「指揮控制伺服器」。
比爾表示,Google今(2019)年2月已將此一狀況通報蘋果公司(Apple),蘋果隨即發布供iOS 12.1用的資安修補。
蘋果證實駭客鎖定維吾爾人,但稱Google研究誤導
蘋果公司9月6日證實,被北京視為安全威脅的中國維吾爾族人,曾是駭客透過iPhone安全漏洞攻擊的目標,但也回擊說谷歌(Google)的研究內容不精確且有誤導性。
路透社報導,Google資安團隊Project Zero研究人員表示,5處安全漏洞導致「在至少兩年的時間內,特定社群的iPhone用戶遭到駭入攻擊。」
研究人員沒有指明被攻擊的社群,但美國有線電視新聞網(CNN)、科技媒體TechCrunch及其他新聞組織報導說,攻擊目的是監視維吾爾人。《路透社》最近報導,中國為監控維吾爾遊客,甚至駭入亞洲電信公司。
蘋果6日表示,這起攻擊「具高度針對性」,影響「不到12個聚焦在維吾爾社群相關內容的網站」,而非如Google研究人員所形容的「大規模」駭入iPhone用戶行動。蘋果也說,2月在Google通知的10天內就已解決這個問題。
蘋果還表示,證據顯示,網站攻擊只持續兩個月,而非Google研究人員所說的兩年。
蘋果在貼文中說,Google貼文在iOS修補程式釋出6個月後發布,造成「有大規模利用漏洞情事,以即時監視所有用戶私人活動」的錯誤印象,導致所有iPhone用戶為裝置遭受危害人心惶惶,但「事實並非如此。」
法新社報導,蘋果發言人塞因斯(Fred Sainz)在聲明中表示:「無論攻擊規模如何,我們都非常重視所有用戶的安全和保障。」
Project Zero的研究人員說,鎖定iPhone使用網站的「隨機網攻」行為,是藉由網頁植入惡意軟體,以取得手機內的照片和用戶定位等資料。
Project Zero的比爾(Ian Beer)表示:「光是造訪被駭網站,就足以讓利用漏洞的伺服器襲擊你的裝置,如果成功,就會安裝監控程式。」
Google在聲明中支持Project Zero的研究結果,並表示會繼續與蘋果及其他公司合作,協助發現並修復漏洞。
《自由時報》報導,雖然在新聞稿中僅一次提到維吾爾,但蘋果已直接證實有駭客針對維吾爾人而來,而新聞稿中並未指明駭客身分,但包含《路透》、《CNN》等均早已報導了中國針對維吾爾的駭客行為,且不僅只於中國新疆境內,甚至為了監控海外維吾爾人,連印度、哈薩克、馬來西亞、泰國及土耳其的電信商都不放過。
新疆逮捕監禁人數激增,中國顯加強打壓維吾爾族
《中央社》報導,中國官方資料顯示,新疆地區2017年遭到逮捕和監禁的人數激增,反映北京為了加強控制這個情勢不穩區域,採取監視和大規模拘押等手段。
儘管新疆人口只占中國全國人口的2%,但根據地方檢察院提供的資料,2017年中國全國逮捕的人當中,高達五分之一在新疆被捕,比例遠高於10年前的2%。
北京對新疆採取的政策招致國際批評。人權團體指出,新疆有多達100萬維吾爾族和其他大多數為穆斯林的少數民族被關在拘留營。中國則辯稱,為了打擊宗教極端主義和恐怖主義,有必要進行大規模拘押。
國際特赦組織(Amnesty International)中國研究員潘嘉偉(Patrick Poon)指出,新疆以「危害公共安全罪」監禁的人數大增,顯示中國利用司法體系打擊維吾爾族和其他穆斯林族群,將他們關在監獄的時間拉長。
根據新疆人民檢察院在「新疆年鑑」發布的資料,依危害公共安全罪遭到逮捕的人數,已由2007年的僅1710人暴增至2017年的6萬510人。這個模糊罪名涵蓋情況廣泛,從未經許可進行大型集會到刺傷多人。
此外,依「擾亂社會秩序罪」被捕人數,也由2007年的僅1764人激增至2017年的近5萬人。這個罪名涉及干擾執法當局或政府官員的工作。
Tags:
2023迎向雲端浪潮,掌握職場躍進方程式,培養雲端硬實力就在此刻!

我們想讓你知道的是
未來,「雲端」將成為企業運作過程不可或缺的數位競爭力之一,而臺灣雲端服務商龍頭AWS即將於2月23日舉辦AWS線上雲端培訓日,免費傳授基本雲端概念技術,並幫助參與者認識雲端、學習AWS提供之上百種的免費雲端服務。
回首2022年來勢洶洶的數位轉型浪潮,數據運算、資料儲存、提升安全性等雲端技術早已成為企業製程最佳化、擴充業務規模、創造價值的重要利器,而在新的一年中,數據分析大廠SAS也指出,整合AI分析平台上雲不只能有效降低部署時間、減少人力成本,亦是在可見的未來中,提升商業價值、邁向永續轉型的科技大勢。因此,許多企業也延續轉型浪潮餘波,積極導入大數據、人工智慧(AI)、機器學習(ML)等進階數據科技,並搭配各式雲端服務來強化企業內部運轉效能,迎戰全新的市場挑戰。
數位革新不落人後,AWS助您入門雲端
當「雲端」從產業發展、轉型的熱門關鍵字轉變為2023年不分產業別,都有強烈需求的職場必備硬實力,每一位在產業中耕耘奮鬥的從業人員、或是初入社會職場的新鮮人,又該如何提升自我,加緊腳步跟上這一波未平一波又起的數位革新呢?
好消息是,臺灣雲端服務商龍頭Amazon Web Services(AWS)即將於2023年2月23日的下午2點至5點,舉辦AWS線上雲端培訓日(AWSome day),透過專為雲端新手設計的一系列實用入門課程,一步步帶領大家了解雲端技術以及AWS服務。
專業講師彙整雲端精華,基本服務、創新應用一次滿足
AWS線上雲端培訓日是針對雲端新手所量身打造的免費入門實用課程。課程內容由AWS的資深業務發展經理KC Liang,以及AWS技術培訓師Stanley Huang共同帶領,兩人將從雲端趨勢、技術概念、產業應用等角度逐一介紹,並透過深入淺出地介紹及示範儲存、資料庫管理、運算和網路、資訊安全等基本雲端概念技術以及AI機器學習、區塊鏈、5G及衛星通訊等熱門創新服務,讓您即刻上手AWS高達100多種的免費服務。

課程結束後,除了獲得AWS提供的培訓證書、養成雲端技術能力,亦能了解如何透過雲端服務掌握市場優勢,所以無論是對雲端服務感興趣的新鮮人、企業或資訊相關的高級主管,還是擁有豐富開發經驗的工程師或技術人員,AWS線上雲端培訓日都能為您建立雲端技術概念、拓展應用視野,為個人或公司帶來正面性的影響。
更棒的是,AWS線上雲端培訓日不只開放免費報名,凡完整參加並填寫會後問卷的參與者皆可參加抽獎,有機會將Air Pods(第三代)與AWS客製露營燈免費帶回家!此外,若您是新用戶,在活動前註冊AWS免費帳號並填寫贈品申請表單,還能直接獲得「AWS不鏽鋼智慧型保溫瓶」,歡迎點此了解更詳細活動規範。
