Зловредные сайты тихо взламывали iPhone в течение многих лет, говорит Google

Google раскрывает, что зловредные сайты тайно использовались для взлома iPhone в течение многих лет

Исследователи безопасности из Google обнаружили серию взломанных сайтов, которые распространяли вредоносное ПО, предназначенное для взлома iPhone на протяжении как минимум двух лет. Эти сайты, которые посещались тысячи раз в неделю, использовались для масштабных атак на своих посетителей с использованием уязвимости нулевого дня для iPhone.

Просто посещение сайта было достаточно, чтобы хакеры незаметно собирали контакты, изображения и другие данные с iPhone пользователя.

“В начале этого года Группа анализа угроз Google (TAG) обнаружила небольшую коллекцию взломанных сайтов. Взломанные сайты использовались в недискриминационных атаках на своих посетителей, используя нулевой день для iPhone,” - написал Иэн Бир из проекта Google Project Zero в блоге, опубликованном в четверг.

“Не было никакой дискриминации целей; просто посещение взломанного сайта было достаточно для того, чтобы сервер эксплуатации атаковал ваше устройство, и если это было успешно, установил мониторинговый имплант. Мы оцениваем, что эти сайты получают тысячи посетителей в неделю,” - добавил пост.

В начале этого года Группа анализа угроз Google (TAG) обнаружила секретную хакерскую операцию, когда они наткнулись на взломанные сайты.

В ходе своего расследования TAG Google обнаружила в общей сложности 14 уязвимостей iOS в пяти цепочках эксплуатации: семь для веб-браузера iPhone, пять для ядра и две отдельные уязвимости песочницы, одна из которых была нулевым днем. Группа нашла пять цепочек эксплуатации, охватывающих “почти каждую версию от iOS 10 до iOS 12.”

Большинство уязвимостей безопасности были обнаружены в Safari, стандартном веб-браузере на устройствах Apple, отметил Бир. Затронутые iPhone варьируются от iPhone 5s до iPhone X.

Согласно Google, как только вредоносное ПО успешно устанавливалось на iPhone пользователя, имплант мог получить доступ к огромному количеству данных, включая iMessages, фотографии и GPS-локацию в реальном времени. Кроме того, он также имел доступ к связке ключей пользователей iPhone, функции, отвечающей за безопасное хранение паролей и баз данных приложений для обмена сообщениями с сквозным шифрованием, таких как iMessage.

Вредоносное ПО отправляло украденные данные, включая данные о местоположении пользователя в реальном времени, обратно на “сервер управления и контроля” каждые 60 секунд и передавало эту информацию на внешний сервер каждые 60 секунд.

Имплант также мог собирать данные из зашифрованных мессенджеров, таких как Instagram, Telegram и WhatsApp – и даже из приложений Google, таких как Gmail и Hangouts.

К счастью, сообщается, что вредоносное ПО не является постоянным, что означает, что оно удаляется с зараженного iPhone после перезагрузки. В таком сценарии “нападающие тем не менее могут сохранить постоянный доступ к различным учетным записям и сервисам, используя украденные токены аутентификации из связки ключей, даже после того, как они потеряют доступ к устройству,” - отмечает Бир.

Поскольку имплант не сохраняется на устройствах Apple, он снова может предоставить доступ хакерам, когда владелец посещает “скомпрометированный сайт”, предостерегает Бир.

Google уведомила Apple о атаках в феврале, после чего Apple выпустила патч безопасности для iOS 12.1.

“Мы сообщили об этих проблемах Apple с 7-дневным сроком 1 февраля 2019 года, что привело к внеплановому выпуску iOS 12.1.4 7 февраля 2019 года,” - сказал Бир.

Apple раскрыла выводы Google в сопроводительном документе поддержки.

Чтобы убедиться, что ваше устройство Apple защищено от уязвимости, мы рекомендуем проверить, работает ли ваше устройство на самой последней версии iOS. Последнее доступное обновление в настоящее время – iOS 12.4.1.