Ang Google Project Zero, usa ka tigdukiduki sa seguridad, nagreport sa pagkadiskobre sa usa sa pinakadako nga pag-atake sa mga tiggamit sa iPhone gamit ang mga website nga nag-apod-apod sa malisyosong software. Ang taho nag-ingon nga ang mga website nag-inject sa malware sa mga aparato sa tanan nga mga bisita, ang gidaghanon niini mikabat sa pipila ka libo matag semana.
“Walay piho nga focus. Ang pagduaw lang sa usa ka malisyosong site igo na alang sa pagpahimulos sa server sa pag-atake sa imong device ug, kon malampuson, pag-instalar sa mga himan sa pagmonitor. Gibanabana namon nga kini nga mga site gibisita sa libu-libo nga mga tiggamit matag semana, ”sulat sa espesyalista sa Google Project Zero nga si Ian Beer sa usa ka post sa blog.
Ang taho nag-ingon nga ang pipila sa mga pag-atake migamit sa gitawag nga zero-day exploits. Nagpasabot kini nga ang usa ka kahuyang gipahimuslan nga wala mahibal-an sa mga developer sa Apple, mao nga sila adunay "zero nga mga adlaw" aron ayohon kini.
Gisulat usab ni Ian Beer nga ang Google's Threat Analysis Group nakahimo sa pag-ila sa lima ka lahi nga iPhone exploit chain, base sa 14 ka mga kahuyangan. Ang nadiskobrehan nga mga kadena gigamit sa pag-hack sa mga himan nga nagpadagan sa software platform gikan sa iOS 10 ngadto sa iOS 12. Gipahibalo sa mga espesyalista sa Google ang Apple sa ilang pagkadiskobre ug ang mga kahuyangan gitul-id niadtong Pebrero ning tuiga.
Ang tigdukiduki nag-ingon nga human sa usa ka malampuson nga pag-atake sa usa ka user device, ang malware gipang-apod-apod, nga kasagaran gigamit sa pagpangawat sa impormasyon ug pagrekord sa datos mahitungod sa nahimutangan sa device sa tinuod nga panahon. "Ang himan sa pagsubay naghangyo sa mga mando gikan sa command ug control server matag 60 segundos," ingon ni Ian Beer.
Namatikdan usab niya nga ang malware adunay access sa gitipigan nga mga password sa user ug mga database sa lainlaing mga aplikasyon sa pagmemensahe, lakip ang Telegram, WhatsApp ug iMessage. Ang end-to-end encryption nga gigamit sa ingon nga mga aplikasyon makapanalipod sa mga mensahe gikan sa interception, apan ang lebel sa proteksyon maminusan kung ang mga tig-atake makahimo sa pagkompromiso sa end device.
"Tungod sa gidaghanon sa impormasyon nga gikawat, ang mga tig-atake makapadayon sa kanunay nga pag-access sa lain-laing mga account ug mga serbisyo gamit ang gikawat nga mga token sa pag-authenticate bisan human mawad-an og access sa device sa user," si Ian Beer nagpasidaan sa mga tiggamit sa iPhone.
Source: 3dnews.ru