ET
知電話就能駭入iPhone植監控程式！連Google都嘆「史詩級漏洞技術」
記者吳佳穎／台北報導
Google 旗下的資安團隊Project Zero team解析一款間諜監控程式 Pegasus 進攻 iPhone
的手法，讚嘆是史上技術最高明漏洞利用！Google表示，駭客只要知道對方電話號碼或是 A
pple ID，利用 iMessage 傳送假 GIF 檔案，在手機分析圖片的過程，駭客軟體就可以趁虛
植入Pegasus，監控 iPhone，完全不需要和被攻擊者互動，採「零點擊」進攻。Pegasus據
說已被專制組織用來監控一些異議人士、記者和人權鬥士等。
Google表示，間諜監控程式 Pegasus 是以色列資安公司 NSO Group 研發的，疑被給駭客和
間諜作為監控工具，引發美國政府的疑慮，已將 NSO Group 公司列入黑名單
根據 Google 說，這高明的漏洞攻擊法有如「國家級駭客」，入侵後可獲得 iPhone 手機的
權限、查看密碼、用麥克風進行竊聽。由於手法難被發現，無法防禦，主要是利用蘋果 Cor
eGraphics 資料庫編號 CVE-2021-30860 漏洞，但蘋果已在 9 月完成修補。
目前疑似也有 Android 版本的進攻工具，亦採取零點擊進攻，但Project Zero 沒有這些漏
洞利用的樣本，歡迎有發現的民眾聯繫Google。
https://finance.ettoday.net/news/2148519