没下载恶意链接就感染 iPhone大漏洞苹果将修正

网络安全监督团体今天表示，以色列网络监控公司开发出一种可骇入苹果iPhone手机的工具，即使未点选恶意简讯或连接，手机也会遭到感染。苹果证实出现漏洞，已释出修正档。

网络安全监督团体「公民实验室」（Citizen Lab）这项发现之所以重要，是因为此漏洞会造成极大影响，用户即使没有操作，也会遭到入侵，且各版本的iOS、OSX与watchOS无一倖免。

以色列公司NSO集团（NSO Group）开发的间谍软件「飞马」（Pegasus）传出用于监控人权人士、记者甚至元首后，受到外界密切关注。而根据「公民实验室」说法，NSO开发的一种工具，就是允许骇客使用「飞马」入侵iPhone，且至少自2月就使用至今。

「公民实验室」表示，已在沙乌地阿拉伯维权人士的手机上发现被植入上述间谍软件，而且早在2月就被感染。目前不清楚有多少用户受害。苦主即使没有点选东西也会被攻击，研究人员说，被骇入时没有任何可见迹象。

路透社报道，这个漏洞存在于iMessage简讯会自动生成图片的机制。iMessage一直是NSO及其他网络军火商下手目标，苹果（Apple）因此变更了iMessage架构，不过尚未能完全保护系统。

网络安全公司Lookout资深经理施莱斯（Hank Schless）说，飞马软件是所谓的「零点击漏洞」，意谓用户就算不点选恶意连结或档案，间谍软件也会自动安装。

他说：「许多应用程序会自动帮连结建立预览或快取，以提升使用体验。飞马即利用这种功能悄悄感染装置。」

飞马软件能偷偷开启手机相机或麦克风，并收集手机资料。

发布修正档后数小时，苹果表示公司在「公民实验室」发现问题后即「迅速」编写修正档程序。