Apple Insider報導稱：通過高度複雜的攻擊組合，一群黑客總共利用了11個零日漏洞和諸多受感染的網站，來滲透運行iOS、Windows和Android操作系統的設備。谷歌Project Zero安全團隊在一篇博客文章中指出，這輪黑客攻擊可追溯到2020年2月、且至少持續了8個月，期間動用了廣泛的技術手段、漏洞類型、以及攻擊媒介。

（來自：Google Project Zero）

ArsTechnica報導稱，前四個零日漏洞主要針對運行Chrome瀏覽器的Android和Windows計算機。

而後黑客團隊在接下來八個月中擴大了範圍，利用七個漏洞和被感染的網站、根據來訪設備和Web 瀏覽器的不同，對運行Safari 瀏覽器的iOS 設備展開了量身定制的攻擊。

此外即便被發現和封堵了零日漏洞，黑客團隊還可迅速部署新的攻擊形式。報告指出，這種靈活性不僅說明了攻擊者對漏洞瞭如指掌，也從側面反映了他們具有較高的技能水平。

谷歌Project Zero 安全研究人員Maddie Stone 寫道：

總體而言，攻擊者對漏洞本身的開發和利用，都表現出了專業的理解。以Freetype 零日漏洞為例，其利用手段也是相當新穎。

想要弄清楚它如何是觸發iOS 內核特權漏洞這件事本身，就是相當不容易的，更別提混淆手法的花樣百出和耗費的精力。

去年10 月，Project Zero 安全研究人員還檢測到了以下漏洞：

Chrome Freetype 堆緩衝區溢出、cng.sys 中的Windows 堆緩衝區溢出、TurboFan 映射棄用中的類型混淆、Chrome for Android 堆緩衝區溢出、Safari 任意堆棧的讀寫（通過Type 1 字體）、iOS XNU內核內存洩露（在mach 報文中）、以及iOS 內核類型的轉門混淆。

如ArsTechnica 所述，攻擊者需要利用一系列漏洞來突破現代操作系統中內置的多層防禦措施。

慶幸的是，蘋果有在定期發布iOS漏洞修補程度。最近一次補丁，還是3月8日發布的iOS 14.4.1 。