Аюулгүй байдлын судлаач Google Project Zero хортой программ хангамжийг түгээдэг вэб сайтуудыг ашиглан iPhone хэрэглэгчид рүү чиглэсэн хамгийн том халдлагуудын нэгийг илрүүлсэн тухай мэдээлэв. Тус тайланд вэбсайтууд бүх зочдын төхөөрөмжид хортой програм тарьдаг байсан бөгөөд тэдний тоо долоо хоног бүр хэдэн мянга байдаг.
“Тодорхой анхаарал хандуулах зүйл байгаагүй. Хорлонтой сайтад зочлоход л эксплоит сервер таны төхөөрөмжид халдаж, амжилттай бол хяналтын хэрэглүүрийг суулгахад хангалттай. Эдгээр сайтуудад долоо хоног бүр олон мянган хэрэглэгчид зочилдог гэж бид тооцоолж байна" гэж Google Project Zero-ийн мэргэжилтэн Иан Бир блогтоо бичжээ.
Зарим халдлагад тэг өдрийн мөлжлөг гэгдэх аргыг ашигласан гэж тайланд дурджээ. Энэ нь Apple-ийн хөгжүүлэгчид мэдээгүй байсан эмзэг байдлыг ашигласан тул үүнийг засахад "тэг өдөр" үлдсэн гэсэн үг юм.
Иан Беер мөн Google-ийн аюулын шинжилгээний групп 14 эмзэг байдалд тулгуурлан iPhone-ийн ашиглалтын таван гинжийг тодорхойлж чадсан гэж бичжээ. Олдсон сүлжээнүүд нь iOS 10-аас iOS 12 хүртэлх программ хангамжийн платформ дээр ажилладаг төхөөрөмжүүдийг хакердахад ашиглагдаж байжээ. Google-ийн мэргэжилтнүүд илрүүлсэн тухайгаа Apple-д мэдэгдэж, энэ оны хоёрдугаар сард сул талыг зассан.
Хэрэглэгчийн төхөөрөмжид амжилттай халдлага хийсний дараа вирусыг голчлон тухайн төхөөрөмжийн байршлын талаарх мэдээллийг хулгайлж, бүртгэхэд ашигладаг байсан гэж судлаач хэлэв. "Хяналтын хэрэгсэл нь 60 секунд тутамд команд болон хяналтын серверээс тушаал авахыг хүсч байсан" гэж Иан Беер хэлэв.
Мөн тэрээр энэ хортой програм нь Telegram, WhatsApp, iMessage зэрэг янз бүрийн мессежийн программуудын хадгалсан хэрэглэгчийн нууц үг болон мэдээллийн санд нэвтрэх эрхтэй байсныг онцолсон байна. Ийм программуудад ашигладаг төгсгөл хоорондын шифрлэлт нь мессежийг саатуулахаас хамгаалж болох боловч халдагчид эцсийн төхөөрөмжийг эвдэж чадсан тохиолдолд хамгаалалтын түвшин мэдэгдэхүйц буурдаг.
"Хулгайлагдсан мэдээллийн хэмжээг харгалзан халдагчид хэрэглэгчийн төхөөрөмжид хандах эрхээ алдсан ч хулгайлагдсан баталгаажуулалтын жетон ашиглан өөр өөр бүртгэл, үйлчилгээнд байнга нэвтрэх боломжтой" гэж Иан Беер iPhone хэрэглэгчдэд анхааруулав.
Эх сурвалж: 3dnews.ru