Исследователи безопасности в Google говорят, что обнаружили ряд вредоносных веб-сайтов, которые при посещении могут незаметно взломать iPhone жертвы, воспользовавшись набором ранее неизвестных уязвимостей программного обеспечения.
Project Zero от Google (прим. ред. проект по поиску уязвимостей в операционных системах) заявил в своем блоге, опубликованном поздно вечером в четверг, что ничего не подозревающие жертвы посещали веб-сайты тысячи раз в ходе так называемой «неизбирательной» атаки.
«Простого посещения взломанного сайта было достаточно для того, чтобы сервер эксплойтов атаковал ваше устройство, и, если атака прошла успешно, устанавливал имплант для мониторинга», - сказал Ян Бир, исследователь безопасности в Project Zero.
Он сказал, что веб-сайты взламывали айфоны в течение «периода не менее двух лет».
Исследователи обнаружили пять различных цепочек эксплойтов, включающих 12 отдельных недостатков безопасности, из них семь касающихся Safari, встроенного веб-браузера для iPhone. Все эти цепочки позволяли злоумышленнику получить «корневой» доступ к устройству - самый высокий уровень доступа и привилегии на iPhone. При этом злоумышленник получал доступ ко всему спектру функций устройства, которые недоступны даже пользователю. Это означает, что злоумышленник мог спокойно устанавливать вредоносные приложения, чтобы шпионить за владельцем iPhone без их ведома или согласия.
Google сказал, что, основываясь на их анализе, эти уязвимости использовались для кражи фотографий и сообщений пользователя, а также для отслеживания их местоположения практически в реальном времени. «Имплант» также может получить доступ к банку сохраненных паролей пользователя на устройстве.
Уязвимости затрагивают iOS 10 вплоть до текущей версии iOS 12.
Google в частном порядке объявил об уязвимостях в феврале, предоставив Apple всего неделю, чтобы исправить недостатки и выпустить обновления для своих пользователей, хотя обычно разработчикам ПО дается на это 90 дней.
Apple выпустила исправление через шесть дней с iOS 12.1.4 для iPhone 5s и чуть позже на iPad Air.
Бир сказал, что в настоящее время возможны другие хакерские кампании.
Производитель iPhone и iPad в целом неплохо справляется с вопросами безопасности и конфиденциальности. Недавно компания увеличила максимальную выплату вознаграждения за найденные ошибки до 1 миллиона долларов для исследователей в области безопасности. Согласно новым правилам вознаграждения Apple, которые вступят в силу к концу года, Google получил бы право на получение нескольких миллионов долларов.
Если вам понравилась статья, ставьте лайк и подписывайтесь на канал , чтобы получать самые свежие новости!
Источник: techcrunch.com