神秘的虫子被用来入侵iPhone和Android，没有人会谈论它

上周，谷歌精锐的漏洞和恶意软件猎人团队在Chrome、Android、Windows和iOS中发现并披露了一系列影响巨大的漏洞。这家互联网巨头还表示，这些漏洞都是在野外被积极利用的。换句话说，黑客正在利用这些漏洞对人们进行黑客攻击，这一点令人担忧。

更重要的是，母板已经了解到，所有这些漏洞在某种程度上是相互关联的。这可能意味着同样的黑客在使用它们。根据披露的报告，一些漏洞存在于字体库中，另一些漏洞被用来逃离Chrome的沙盒，另一些漏洞被用来控制整个系统，这表明其中一些漏洞是被用来利用受害者设备的一系列漏洞的一部分。

到目前为止，关于谁可能在使用这些漏洞以及他们的目标是谁的信息披露得很少。通常，现代软件中的漏洞会被安全研究人员发现并在道德上披露，这意味着它们在被广泛利用来黑客攻击之前就被修复了。然而，在这种情况下，我们知道这些漏洞被用于黑客操作。

去年，谷歌发现了一系列零日漏洞，间谍利用这些漏洞瞄准维吾尔族社区。在发现漏洞时，谷歌还不知道这些漏洞。中国对穆斯林少数民族进行了广泛、系统的身体和技术压迫和监视运动。

不幸的是，这一次我们不知道任何细节，因为谷歌是唯一一家了解这些漏洞背后真相的公司，它根本没有透露太多关于它是如何发现这些漏洞的，是谁在使用这些漏洞，以及它们被用来对付谁。值得注意的是，iOS 12(已有两年历史)的更新解决了iPhone 5s和iPhone 6之前的手机上的这个问题。通常，当更新被推送到这样的旧设备上时，这意味着这个漏洞特别严重，但同样，我们目前还不知道具体细节。

一位网络安全专家表示，他们更新了iPhone 6用户的信息，这意味着情况很糟糕。由于不允许接受媒体采访，这位专家要求不具名。那部手机已经报废一段时间了。

谷歌发言人斯科特·韦斯特奥弗(Scott Westover)周一在一封电子邮件中表示：我们无法提供太多新信息。

你有关于这些漏洞的任何信息吗，或者是使用它们的黑客？我们很高兴收到你的来信。使用非工作电话或电脑，您可以安全地通过SIGNAL电话+1 917 257 1382联系Lorenzo Franceschi-Bicchierai，通过Wickr@lorenzofb联系Wickr，通过[email protected]联系OTR聊天，或发送电子邮件至[email protected]。

苹果没有回复记者的置评请求。微软的一位发言人在一封电子邮件中表示，该公司“在11月发布了安全更新，以解决CVE-2020-17087的问题。”已应用更新或启用自动更新的客户将受到保护。“。该公司还表示，没有看到野外剥削的证据。

互联网巨头谷歌零度项目(Google Project Zero)的负责人本·霍克斯(Ben Hawkes)在推特上宣布，他的团队在过去10天里发现了所有这些漏洞(总共7个)。谷歌零度项目是由技术娴熟的黑客组成的团队，任务是在所有类型的软件(不仅仅是谷歌)中发现漏洞。

根据霍克斯的说法，10月20日，谷歌披露了这一系列漏洞中的第一个漏洞(CVE-2020-15999)，开源字体渲染软件FreeType中的一个漏洞被用来攻击Chrome。

然后，10月30日，第一个引起媒体更多关注的漏洞(CVE-2020-17087)是一个Windows漏洞，它允许黑客提升系统权限，这意味着黑客可以从控制一个应用程序跳到控制整个受害者的系统。

最后，上周，霍克斯在推特上写道，零计划还发现了Chrome和Android的零日(CVE-2020-16009和CVE-2020-16010)，它们在野外被利用了。其中第一个用于远程代码执行，这是黑客完全控制应用程序或系统的技术术语。

就在三天后，霍克斯宣布苹果已经修复了iOS中的三个关键漏洞。其中两个漏洞存在于内核中，这是操作系统的一部分，可以访问手机上发生的几乎所有事情，其中一个也是字体漏洞，隐约让人想起10月20日披露的FreeType One。根据苹果公司的说法，这个漏洞允许黑客通过向受害者发送一个带有恶意制作的字体的文件来控制受害者的手机。

谷歌威胁分析小组的负责人肖恩·亨特利(Shane Huntley)在推特上表示，这些漏洞被用来在野外进行定向攻击，与最近报道的另一起0day事件类似，而且这些漏洞与美国大选无关。谷歌威胁分析小组是一个追踪互联网上黑客的团队，其负责人肖恩·亨特利(Shane Huntley)在Twitter上表示，这些漏洞被用来在野外进行定向攻击，与美国大选没有任何关系。

安全咨询公司Trail of Bits的研究员瑞安·斯托茨(Ryan Stortz)告诉主板记者，这感觉就像是间谍屎。

斯托茨说，他还没有看到这些漏洞和漏洞的细节--除了谷歌和打补丁的公司之外，没有人知道--但他说，看起来它们都可能是同一个黑客组织漏洞武器库的一部分。

像这样的漏洞跨平台是非常罕见的。我认为更有可能的是，他们发现了另一个水坑，就像维吾尔族的虫子一样，有两条铁链。

据一位了解漏洞的消息人士透露，这七个漏洞都是相互关联的。由于不允许与媒体交谈，这位消息人士要求匿名。

无论如何，这些漏洞中的一些非常关键，在黑客使用它们时给了他们很大的权力。例如，iOS漏洞非常危险，以至于苹果不仅为当前的iOS 14，也为较旧的、通常不受支持的iOS 12推送了更新。

微软发布了一份新的声明，称他们修补了Project Zero发现的漏洞。