Google資安團隊發現駭客攻擊iPhone，蘋果證實是鎖定維吾爾人

（中央社）谷歌（Google）的資安專家公布一項至少已歷時2年、鎖定iPhone進行「隨機網攻」駭客行為，藉由網頁植入惡意軟體以取得手機內的照片和使用者的定位等資料。

科技媒體TechCrunch引述知情人士披露，多個惡意網站2年來用於駭入iPhone，對象疑鎖定維吾爾穆斯林，相關惡意網站恐為國家級駭客攻擊的一環，用於鎖定在中國新疆維吾爾自治區的維族社群。

《法新社》報導，Google資安團隊Project Zero在部落格貼文裡沒指名發動攻擊的網頁名稱，但估計相關網頁一週會有數千人造訪。

Project Zero資安專家比爾（Ian Beer）表示，一旦被植入，惡意軟體「主要會竊取檔案、上傳即時位置資料」，還能進入像Telegram、WhatsApp、iMessage等這類加密的即時通訊應用程式。

比爾在貼文裡還指出，連Google Hangouts與Gmail也被影響。Project Zero貼文還詳細介紹惡意軟體如何針對和利用iPhone漏洞進行破壞。

他指出，大多數遭鎖定的漏洞是在iPhone的Safari預設瀏覽器，Project Zero團隊在從iOS 10到目前iOS 12版本幾乎每個作業系統都有發現漏洞。使用者的iPhone一旦被植入，惡意軟體每60秒就會將使用者的即時所在位置等竊得的資料，回傳至「指揮控制伺服器」。

比爾表示，Google今（2019）年2月已將此一狀況通報蘋果公司（Apple），蘋果隨即發布供iOS 12.1用的資安修補。

蘋果公司9月6日證實，被北京視為安全威脅的中國維吾爾族人，曾是駭客透過iPhone安全漏洞攻擊的目標，但也回擊說谷歌（Google）的研究內容不精確且有誤導性。

路透社報導，Google資安團隊Project Zero研究人員表示，5處安全漏洞導致「在至少兩年的時間內，特定社群的iPhone用戶遭到駭入攻擊。」

研究人員沒有指明被攻擊的社群，但美國有線電視新聞網（CNN）、科技媒體TechCrunch及其他新聞組織報導說，攻擊目的是監視維吾爾人。《路透社》最近報導，中國為監控維吾爾遊客，甚至駭入亞洲電信公司。

蘋果6日表示，這起攻擊「具高度針對性」，影響「不到12個聚焦在維吾爾社群相關內容的網站」，而非如Google研究人員所形容的「大規模」駭入iPhone用戶行動。蘋果也說，2月在Google通知的10天內就已解決這個問題。

蘋果還表示，證據顯示，網站攻擊只持續兩個月，而非Google研究人員所說的兩年。

蘋果在貼文中說，Google貼文在iOS修補程式釋出6個月後發布，造成「有大規模利用漏洞情事，以即時監視所有用戶私人活動」的錯誤印象，導致所有iPhone用戶為裝置遭受危害人心惶惶，但「事實並非如此。」

法新社報導，蘋果發言人塞因斯（Fred Sainz）在聲明中表示：「無論攻擊規模如何，我們都非常重視所有用戶的安全和保障。」

Project Zero的研究人員說，鎖定iPhone使用網站的「隨機網攻」行為，是藉由網頁植入惡意軟體，以取得手機內的照片和用戶定位等資料。

Project Zero的比爾（Ian Beer）表示：「光是造訪被駭網站，就足以讓利用漏洞的伺服器襲擊你的裝置，如果成功，就會安裝監控程式。」

Google在聲明中支持Project Zero的研究結果，並表示會繼續與蘋果及其他公司合作，協助發現並修復漏洞。

《自由時報》報導，雖然在新聞稿中僅一次提到維吾爾，但蘋果已直接證實有駭客針對維吾爾人而來，而新聞稿中並未指明駭客身分，但包含《路透》、《CNN》等均早已報導了中國針對維吾爾的駭客行為，且不僅只於中國新疆境內，甚至為了監控海外維吾爾人，連印度、哈薩克、馬來西亞、泰國及土耳其的電信商都不放過。

《中央社》報導，中國官方資料顯示，新疆地區2017年遭到逮捕和監禁的人數激增，反映北京為了加強控制這個情勢不穩區域，採取監視和大規模拘押等手段。

儘管新疆人口只占中國全國人口的2％，但根據地方檢察院提供的資料，2017年中國全國逮捕的人當中，高達五分之一在新疆被捕，比例遠高於10年前的2％。

北京對新疆採取的政策招致國際批評。人權團體指出，新疆有多達100萬維吾爾族和其他大多數為穆斯林的少數民族被關在拘留營。中國則辯稱，為了打擊宗教極端主義和恐怖主義，有必要進行大規模拘押。

國際特赦組織（Amnesty International）中國研究員潘嘉偉（Patrick Poon）指出，新疆以「危害公共安全罪」監禁的人數大增，顯示中國利用司法體系打擊維吾爾族和其他穆斯林族群，將他們關在監獄的時間拉長。

根據新疆人民檢察院在「新疆年鑑」發布的資料，依危害公共安全罪遭到逮捕的人數，已由2007年的僅1710人暴增至2017年的6萬510人。這個模糊罪名涵蓋情況廣泛，從未經許可進行大型集會到刺傷多人。

此外，依「擾亂社會秩序罪」被捕人數，也由2007年的僅1764人激增至2017年的近5萬人。這個罪名涉及干擾執法當局或政府官員的工作。

潘嘉偉表示：「部分案件被告的海外家屬告訴我們…他們（在新疆）的親屬秘密受審後，有的被判刑數年，有的被判刑高達10或20年。他們許多人都無法得知和查證確切細節和親屬下落。」

人權團體「人權捍衛者」（Chinese Human Rights Defenders）研究員易夫（Frances Eve）則說，新疆2017年逮捕和監禁的人數較2016年「突然增加」，很可能歸因於2016年8月上任的新疆自治區黨委書記陳全國採取鐵腕治理。

易夫表示：「律師相信，新疆很多所謂『恐怖主義分子』案件實際上總是牽涉少數民族，而且未經適當法律程序處理。例如通常在審判前已準備好判決，且判決內容由政府或共產黨官員決定，而非法官。」

核稿編輯：楊之瑜