今年6月,卡巴斯基的研究团队发现了一个严重的iMessage漏洞,他们将其命名为“Operation Triangulation”。这个漏洞可以让恶意软件侵入iPhone,并收集麦克风录音、照片、地理位置等敏感信息。
研究人员在混沌通信大会首次公开了这个漏洞的详细情况。据悉,该漏洞自2019年到2022年12月一直存在,被认为是苹果公司遇到过的最复杂的攻击链之一。
黑客在这四年多的时间里成功利用这个漏洞,在数千部iPhone上创建了一个隐藏的后门,从而直接获得了最高级别的Root权限。要想成功利用这个后门,必须对苹果产品底层机制有全面而深入的了解。
研究人员表示,“无法想象这个漏洞是如何被意外发现的”,他认为除了苹果和ARM之外,几乎不可能有人知晓这个漏洞的存在。通过该漏洞,攻击者可以将麦克风录音、照片、地理位置和其他敏感数据传输到其控制的服务器中。
尽管重启手机就能关闭这个漏洞,但只需向用户发送一段恶意iMessage文本(即苹果网络短信),攻击者就能重新激活它,无需用户进行其他操作。
OpenAI科学家Andrej Karpathy表示:这无疑是我们迄今为止所见过的攻击链中最复杂的一个。
