Коопсуздук боюнча изилдөөчү Google Project Zero зыяндуу программалык камсыздоону тараткан веб-сайттар аркылуу iPhone колдонуучуларына жасалган эң чоң чабуулдардын бири табылганын билдирди. Докладда веб-сайттар бардык коноктордун аппараттарына зыяндуу программаларды киргизгени, алардын саны жума сайын бир нече миңди түзгөнү айтылат.
«Эч кандай конкреттүү көңүл буруу болгон жок. Жөн гана зыяндуу сайтка баруу эксплуатация сервери үчүн сиздин түзмөгүңүзгө чабуул коюусу жана ийгиликтүү болсо, мониторинг куралдарын орнотуу үчүн жетиштүү. Бул сайттарга жума сайын миңдеген колдонуучулар кирет деп эсептейбиз”, - деп жазган Google Project Zero адиси Ян Бир блогунда.
Маалыматта кол салуулардын кээ бирлери нөл күн деп аталган эксплуатацияларды колдонгону айтылат. Бул Apple иштеп чыгуучулары билбеген алсыздык пайдаланылганын билдирет, андыктан аларды оңдоо үчүн "нөл күн" бар.
Ян Бир ошондой эле Google'дун коркунучтарды талдоо тобу 14 кемчиликтин негизинде iPhone'ду эксплуатациялоонун беш чынжырын аныктай алганын жазган. Табылган чынжырлар iOS 10дон iOS 12ге чейин программалык платформаларды иштеткен түзмөктөрдү бузуш үчүн колдонулган. Google адистери Apple компаниясына алардын ачылышы тууралуу кабарлашкан жана алсыздыктар ушул жылдын февраль айында оңдолгон.
Изилдөөчүнүн айтымында, колдонуучунун түзмөгүнө ийгиликтүү чабуул жасалгандан кийин зыяндуу программа тараган, ал негизинен маалыматты уурдоо жана реалдуу убакыт режиминде аппараттын жайгашкан жери тууралуу маалыматтарды жазуу үчүн колдонулган. "Көзөмөл куралы ар бир 60 секунд сайын командалык жана башкаруу серверинен буйруктарды сурап турган" деди Ян Бир.
Ал ошондой эле зыяндуу программанын сакталган колдонуучу сырсөздөрүнө жана Telegram, WhatsApp жана iMessage сыяктуу ар кандай жазышуу тиркемелеринин маалымат базаларына кирүү мүмкүнчүлүгү бар экенин белгиледи. Мындай тиркемелерде колдонулган бирден-учка шифрлөө билдирүүлөрдү кармап калуудан коргой алат, бирок чабуулчулар акыркы түзүлүштү бузуп алса, коргоо деңгээли бир топ төмөндөйт.
"Уурдалган маалыматтын көлөмүн эске алуу менен, чабуулчулар колдонуучунун түзмөгүнө кирүү мүмкүнчүлүгүн жоготкондон кийин да уурдалган аутентификация белгилерин колдонуп, ар кандай аккаунттарга жана кызматтарга туруктуу кирүү мүмкүнчүлүгүн сактап кала алышат", - деп эскертет Ян Бир iPhone колдонуучуларына.
Source: 3dnews.ru