Billede: Google Project Zero
Sikkerhed forskere på Google sagde, at de fandt, ondsindede websteder, der serveres iPhone udnytter i næsten tre år.
Angrebene var ikke rettet mod særlige iOS-brugere, som de fleste iOS udnytter tendens til at blive brugt, men var rettet mod enhver bruger at få adgang til disse websteder via en iPhone.
“Der var ingen mål diskrimination, blot du besøger hacket website var nok til at udnytte server til at angribe din enhed, og hvis det lykkedes, skal du installere en overvågning implantat,” sagde Ian Øl, et medlem af Google Project Zero, Google ‘ s elite security team.
De udnytter også ikke kræver nogen brugerinteraktion til at udløse. Google sagde, at den første hjemmeside, at være vært for en af de udnytter gik live på 13 September 2016. De hjemmesider, der syntes at have været hacket, og de udnytter plantet af en tredje-part, snarere end at ejeren af webstedet.
“Vi vurderer, at disse websteder modtager tusindvis af besøgende per uge,” Øl sagde.
14 udnytter, fem udnytte kæder, mindst en nul-dag
Denne forbryderiske og hemmelighedsfuld hacking drift blev opdaget tidligere i år, da Google ‘ s Threat Analysis Group (TAG) kom på tværs af de hackede sites.
“Vi rapporterede disse spørgsmål, at Apple med en 7-dages fristen på 1 Feb 2019, hvilket resulterede i out-of-band-frigivelse af iOS 12.1.4 på 7 Feb 2019,” Øl sagde.
I alt Øl, der sagde, at Google har fundet exploits rettet mod 14 iOS sårbarheder, der er inddelt i fem udnytte kæder. Syv sårbarheder påvirket iPhone web-browser, fem i kernen, og to var sandkasse undslipper. De udnytter målrettet iOS versioner 10.x, 11.x, og 12.x.
Malware kan stjæle beskeder, fotos, GPS-koordinater
Øl og hans Project Zero kolleger har offentliggjort teardowns af de fem udnytte kæder, og det udnyttede sårbarheder [1, 2, 3, 4, 5], sammen med blogindlæg, der handler om BSU udnytte, at lov hackere at få en indledende fodfæste i ofrenes browsere, og en analyse af implantatet, der blev efterladt på inficerede enheder.
I henhold til Øl, dette implantat (malware plantet på inficerede iPhones) kunne “stjæle private data som iMessages, fotos og GPS-placering i real-tid.” Den gode nyhed var, at implantatet ikke var i stand til oprettelse af boot vedholdenhed på enheden, og blot genstarte telefonen vil fjerne, indtil brugeren revisited en af de hackede hjemmesider igen.
Desuden, Øl også bemærkes, at mens de fleste af de bedrifter, målrettet ældre sårbarheder, at Apple allerede havde lappet, mindst én udnytte kæde anvendes en svaghed, der var stadig en nul-dag (uændrede). Dette var CVE-2019-7287 & CVE-2019-7286, rettet i iOS 12.1.4, udgivet i februar 2019. [Denne zero-day var en del af udnytte kæden #4 i grafen ovenfor]
Google forsker advarer også mod, at andre lignende hacking kampagner og udnytte kæder kan stadig være omkring, og beskrevet de steder, som Google har fundet som “en fejl, for angriberen.
“Der er næsten helt sikkert andre, der er endnu ikke set,” sagde han.
Google har ikke frigive oplysninger om de websteder, der serverer de udnytter.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre