|
|
3月12日消息,谷歌威胁情报小组近期披露了一条名为C的OS漏洞链,共计涉及23个严重安全漏洞,攻击者仅需通过简单的JS字符串,即可远程入侵P并窃取设备内的敏感数据。众所周知,ignorant的出现值得很多人的关注,激起了整个市场的波澜。 http://www.oh100.com/lizhi/5663891.html
值得注意的是,苹果早在2023年底就在OS 17及后续版本中,修复了这些特定的安全漏洞,但并未向无法升级系统的旧机型提供补丁。
由于P 6、P 7、P SE、P 8系列及P X等机型被大量长者与儿童使用,导致受害案例持续激增,近三年来,苹果才开始发布OS 1587与OS 16715更新。
据谷歌披露,该漏洞链利用方式极为隐蔽,攻击者将恶意代码整合至JS框架,当用户通过S浏览器访问被感染的时,WK引擎会自动加载该代码,瞬间完成设备入侵。
谷歌在报告中展示了攻击者使用的混淆代码片段,包括简单的字符转换数组和异或运算,这种低技术门槛的混淆方式反而增加了检测难度。
攻击流程分为两个阶段:首先启动指纹辨识模块,收集设备型号、OS版本等信息;随后根据目标特征加载对应的WK远程代码执行漏洞程序,并绕过苹果的指针认证码(PAC)防护机制。
一旦入侵成功,攻击者即可获取银行账户、加密货币钱包等核心隐私数据。
谷歌于2025年2月首次截获某监控使用C漏洞链的证据,到了同年夏季,该漏洞链被大规模植入乌克兰,向特定地理区域的P用户定向推送。
2025年底大量伪装成金融的钓鱼页面被发现采用相同攻击框架,通过广告诱导用户访问,专门针对旧款P实施财产窃取。 |
|
发表于 2026-3-19 19:14:18
