Google Project Zero, mtafiti wa usalama, aliripoti ugunduzi wa mojawapo ya mashambulizi makubwa zaidi kwa watumiaji wa iPhone wanaotumia tovuti zinazosambaza programu hasidi. Ripoti hiyo inasema kwamba tovuti ziliingiza programu hasidi kwenye vifaa vya wageni wote, idadi ambayo ilifikia maelfu kadhaa kila wiki.
"Hakukuwa na umakini maalum. Kutembelea tovuti hasidi kunatosha kwa seva ya unyonyaji kuzindua shambulio kwenye kifaa chako, na ikiwa imefanikiwa, sakinisha zana za ufuatiliaji. Tunakadiria kuwa tovuti hizi hutembelewa na maelfu ya watumiaji kila wiki,β mtaalamu wa Google Project Zero Ian Beer aliandika katika chapisho la blogu.
Ripoti hiyo ilisema kuwa baadhi ya mashambulizi yalitumia kile kinachoitwa ushujaa wa siku sifuri. Hii inamaanisha kuwa athari ilitumiwa ambayo watengenezaji wa Apple hawakuifahamu, kwa hivyo walikuwa na "siku sifuri" kuirekebisha.
Ian Beer pia aliandika kwamba Kikundi cha Uchambuzi wa Tishio cha Google kiliweza kutambua minyororo mitano tofauti ya unyonyaji wa iPhone, kulingana na udhaifu 14. Minyororo iliyogunduliwa ilitumiwa kudukua vifaa vinavyoendesha majukwaa ya programu kutoka iOS 10 hadi iOS 12. Wataalamu wa Google waliarifu Apple kuhusu ugunduzi wao na udhaifu huo ulisahihishwa Februari mwaka huu.
Mtafiti huyo alisema baada ya shambulio lililofanikiwa kwenye kifaa cha mtumiaji, programu hasidi ilisambazwa, ambayo ilitumiwa sana kuiba habari na kurekodi data kuhusu eneo la kifaa kwa wakati halisi. "Zana ya kufuatilia ilikuwa ikiomba amri kutoka kwa seva ya amri na udhibiti kila sekunde 60," Ian Beer alisema.
Pia alibainisha kuwa programu hasidi ilikuwa na ufikiaji wa nywila zilizohifadhiwa za watumiaji na hifadhidata za programu mbali mbali za ujumbe, pamoja na Telegraph, WhatsApp na iMessage. Usimbaji fiche kutoka mwanzo hadi mwisho unaotumiwa katika programu kama hizo unaweza kulinda ujumbe dhidi ya kukatiwa, lakini kiwango cha ulinzi hupunguzwa sana ikiwa wavamizi wataweza kuhatarisha kifaa cha mwisho.
"Kwa kuzingatia wingi wa taarifa zilizoibiwa, washambuliaji wanaweza kudumisha ufikiaji wa mara kwa mara kwa akaunti na huduma tofauti kwa kutumia tokeni za uthibitishaji zilizoibiwa hata baada ya kupoteza ufikiaji wa kifaa cha mtumiaji," Ian Beer anaonya watumiaji wa iPhone.
Chanzo: 3dnews.ru