Google揭iPhone資安漏洞 維吾爾族人恐長期遭監控

在蘋果(Apple)秋季發表會的前一週,Google資安團隊Project Zero披露iPhone過去兩年所存在的資安漏洞,這個漏洞使得新疆使用蘋果手機的維吾爾人,在過去兩年因瀏覽特定網站,可能感染了中國政府所蓄意發布的惡意程式碼,這不只讓人對蘋果的隱私加密性感到質疑,也讓維吾爾族穆斯林受到監控。

根據Google威脅分析小組(Threat Analysis Group,TAG)今年初的發現,是一群網站被駭後,透過在合法網站植入惡意程式,再用來對iPhone用戶進行無差別水坑式(watering hole)攻擊,倘若成功即安裝監控用的程式。估計這些網站每周有數千造訪人次。

Google TAG則研究發現,5支個別獨立而完整的iPhone攻擊鏈(exploit chain),可導致權限升級攻擊,顯示有一群駭客針對特定iPhone的用戶進行長期的駭入,時間最少二年,涵括iOS 10.0.1到12.1.2。

Google 另一研究單位Project Zero根據前述研究分析發現,指出這波行動牽涉高達14個iOS漏洞,包括7個Safari漏洞、5個核心漏洞及2個沙箱逃逸漏洞。研究人員Ian Beer於上周公佈研究細節。在iOS中的5個攻擊鏈,至少有一個是零時差漏洞且未修補,可植入間諜程式以竊取iPhone用戶的iMessage、相片、密碼和GPS座標。

科技網站Tech Crunch同時提出報導,這些網站的目標是針對宗教團體的,且是在使用者不知情的狀況下駭入。Google作業系統研究員Jonathan Levin指出,這項研究指出的漏洞其實並不算新發現,重點是這些漏洞被用來進行大規模的攻擊,用戶無需點擊或任何動作,就可以有效監控許多人。

經過Google今年2月初通報後,蘋果已緊急修補了4項漏洞,包括重大風險的CVE-2019-7287、CVE-2019-7286。這一事件還引起了美國聯調局(FBI)的注意,他們已通知Google將這些網站從索引庫中刪除。

人權觀察組織Human Rights Watch就曾數次指控,中國大規模蒐集及監控新疆民眾的日常生活,利用大數據分析技術部署治安預測(Predictive Policing)專案,全面進行包括臉部識別技術的電子監控,並到處設置檢查站,標註那些可能對官方造成威脅的人。警方還會監控當地民眾手機是否安裝了51種被列入黑名單的程式,從 Viber、WhatsApp、Telegram到VPN等。

《富比世》(Forbes)雜誌的湯瑪斯.布魯斯特(Thomas Brewster)另外提出,除了蘋果手機系統外,安卓和微軟系統也成為了駭客攻擊的目標。中國當局不只在新疆施行鐵腕治理,中國駭客組織還入侵土耳其、哈薩克、印度、泰國、馬來西亞等國國家的電信商,對維吾爾人從新疆到土耳其經常旅行的國家,施行嚴密的大眾監控。【記者 成曉中整理報導】