Google Project Zero, sekureca esploristo, raportis la malkovron de unu el la plej grandaj atakoj kontraŭ iPhone-uzantoj uzante retejojn, kiuj distribuas malicajn programojn. La raporto deklaras ke la retejoj injektis malware sur la aparatoj de ĉiuj vizitantoj, kies nombro sumiĝis al pluraj miloj ĉiusemajne.
"Ne estis specifa fokuso. Simple viziti malican retejon sufiĉas por ke la ekspluata servilo ataku vian aparaton kaj, se sukcesa, instalu monitorajn ilojn. Ni taksas, ke ĉi tiuj retejoj estas vizitataj de miloj da uzantoj ĉiusemajne,” skribis la specialisto de Google Project Zero Ian Beer en bloga afiŝo.
La raporto diris, ke iuj el la atakoj uzis tiel nomatajn nul-tagajn ekspluatojn. Ĉi tio signifas, ke vundebleco estis ekspluatita pri kiu Apple-programistoj ne konsciis, do ili havis "nul tagojn" por ripari ĝin.
Ian Beer ankaŭ skribis ke la Threat Analysis Group de Google povis identigi kvin apartajn iPhone-ekspluatĉenojn, surbaze de 14 vundeblecoj. La malkovritaj ĉenoj estis uzataj por haki aparatojn kurantajn programajn platformojn de iOS 10 ĝis iOS 12. Guglo-specialistoj informis Apple pri sia malkovro kaj la vundeblecoj estis korektitaj en februaro de ĉi tiu jaro.
La esploristo diris, ke post sukcesa atako al uzant-aparato oni disvastigis malware, kiu ĉefe estis uzata por ŝteli informojn kaj registri datumojn pri la loko de la aparato en reala tempo. "La spurilo petis komandojn de la komanda kaj kontrola servilo ĉiujn 60 sekundojn," diris Ian Beer.
Li ankaŭ rimarkis, ke la malware havis aliron al konservitaj uzantpasvortoj kaj datumbazoj de diversaj mesaĝaj aplikaĵoj, inkluzive de Telegram, WhatsApp kaj iMessage. Fin-al-fina ĉifrado uzata en tiaj aplikoj povas protekti mesaĝojn kontraŭ interkapto, sed la nivelo de protekto estas signife reduktita se atakantoj sukcesas endanĝerigi la finan aparaton.
"Konsiderante la ŝtelitan volumon de informoj, atakantoj povas konservi konstantan aliron al malsamaj kontoj kaj servoj uzante ŝtelitajn aŭtentiksignojn eĉ post perdo de aliro al la aparato de la uzanto," Ian Beer avertas iPhone-uzantoj.
fonto: 3dnews.ru