Windows、iOS和Android紛紛中招：這些漏洞要小心了

• 2021 年 3 月 20 日
• 資訊
• 漏洞, Google

隨著人們掌握的安全漏洞知識越來越多，隨之而來的則是越來越多的漏洞被發現和利用。

據外媒報道，近日，Google的互聯網安全團隊「Project Zero」披露了2020年7個零日漏洞，黑客利用這些漏洞入侵了iOS、Android和Windows設備。

研究人員表示，黑客通過「水坑攻擊」來利用操控這些漏洞。即先通過分析攻擊目標的上網活動規律，尋找攻擊目標經常訪問的網站的弱點，然後將此網站「攻破」並植入攻擊程式碼，一旦攻擊目標訪問該網站就會「中招」。

此外，這些漏洞問題也相當廣泛，從JIT漏洞到大量字體錯誤等，每個漏洞都顯示出了黑客對這些漏洞開發和被利用漏洞的專業理解。

並且這些漏洞鏈通過其模組化設計來提高其效率和靈活性，不僅設計精良、程式碼複雜，還具有全新的開發方式、成熟的日誌記錄以及大量的反分析和目標檢查。

不過，目前還不清楚哪些網站被鎖定，以及黑客們的最終目標是什麼。

據了解，「零日漏洞」(zero-day)又叫零時差攻擊，是指被發現後立即被惡意利用的安全漏洞。通俗地講，即安全修補程式與瑕疵曝光的同一日內，相關的惡意程式就出現。這種攻擊往往具有很大的突發性與破壞性。

而「Project Zero」是Google於2014年7月宣布的互聯網安全項目，該團隊主要由Google內部頂尖安全工程師組成，旨在發現、跟蹤和修補全球性的軟體安全漏洞，所處理的安全漏洞通常都屬於「零日漏洞」範疇。

<