間諜程式藏網站大規模侵入iPhone至少2年，疑意在監控維吾爾人

Google Project Zero發現間諜軟體藉由多個被駭網站再駭入iPhone手機，時間長達兩年。Techcrunch報導，這波行動目的在監控維吾爾穆斯林，但一般人連上網站也會遭殃。

Google 威脅分析小組（Threat Analysis Group，TAG）今年初發現一群網站被駭後，被用來對iPhone用戶進行無差別水坑式（watering hole）攻擊。此類攻擊透過在合法網站植入惡意程式，在任何iPhone用戶登入網站下載到手機上，倘若成功即安裝監控用的程式。估計這些網站每周有數千造訪人次。Google TAG研究發現，5支個別獨立而完整的iPhone攻擊鏈（exploit chain），可導致權限升級攻擊，顯示有一群駭客針對特定iPhone用戶系統性進行長期的駭入，時間最少二年，涵括iOS 10.0.1到12.1.2。

Google 另一研究單位Project Zero根據前述研究分析發現，這波行動牽涉高達14個iOS漏洞，包括iOS版Safari漏洞7個、5個核心漏洞及2個沙箱逃逸漏洞。研究人員Ian Beer於上周公佈研究細節。在iOS中的5個攻擊鏈，至少有一個是零時差漏洞且未修補，可植入間諜程式以竊取iPhone用戶的iMessage、相片和GPS座標。經Google今年2月初通報後，蘋果已緊急修補了4項漏洞，包括重大風險的CVE-2019-7287、CVE-2019-7286。

Google作業系統研究員Jonathan Levin指出，這項研究發現的漏洞其實並不新，它新的地方是這些漏洞被用來進行如此大規模的攻擊，因為只要以iPhone存取網站就會被感染，無需用戶點擊或任何動作，可以有效監控許多人。

雖然Google Project Zero研究並未說明被駭的網站有哪些，不過Techcruch上周引述消息人士指出，這些網站入侵行為是國家支持的攻擊行動，可能是中國，而目標則是新疆維吾爾族穆斯林。但是由於這些網站可被Google檢索到，因此非維吾爾族iPhone用戶同樣會被攻擊。消息人士還透露，FBI要求Google將這些網站從其索引中移除。

不過Google、蘋果及FBI皆不願對此評論。

如果報導為真，這將是最新一次中國被揭發，以科技監控新疆地區維吾爾族人。除了部署綿密的監視攝影機外，人權觀察組織Human Rights Watch近日數次指控，中國大規模蒐集及監控新疆民眾的日常生活，利用大數據分析技術部署治安預測（Predictive Policing）專案，標註那些可能對官方造成威脅的個人。警方還會監控當地民眾手機是否安裝了51種被列入黑名單的程式，從 Viber、WhatsApp、Telegram到VPN等。