[svoboda] Уязвимость в iOS позволяла злоумышленникам получать доступ к содержимому смартфонов iPhone через зараженные сайты
Здравствуйте, свобода.
Исследователи в области информационной безопасности из Google Project Zero
рассказали о серьезной уязвимости операционной системы iOS, из-за которой
злоумышленники могли получать доступ к данным на смартфонах iPhone, включая
сообщения в мессенджерах и пароли.
Как пишет N+1, исследователи обнаружили небольшую группу зараженных
злоумышленниками сайтов, содержащих код для взлома iPhone через браузер
Safari. Уязвимости были подвержены и другие браузеры, а также планшеты iPad,
но атаки были нацелены именно на iPhone и Safari. В общей сложности
исследователи Google нашли 14 уязвимостей и пять цепочек эксплоитов, которым
были подвержены все устройства с 10 до 12 версии iOS.
Когда пользователь открывал страницу, хакеры получали доступ к сообщениям,
файлам и геолокации в реальном времени. Кроме того, злоумышленники могли
внедрить программный имплант, который позволял обходить систему keychain,
которая защищает пароли и логины пользователей на iOS и macOS. По оценке
исследователей, уязвимость использовалась в течение минимум двух лет, а
зараженные сайты посещали "тысячи пользователей" каждую неделю, что делает
эту атаку одной из крупнейших в истории iPhone.
Проблема была обнаружена в феврале 2019 года, и эксперты Google сразу же
обратились в Apple, дав компании на устранение уязвимости всего семь дней, а
не обычные 90 дней, отмечает TJ. В Apple оперативно отреагировали на
обращение и обновили iOS до версии 12.1.4 - в ней же была исправлена ошибка,
позволявшая прослушивать пользователей iOS через FaceTime.
В Google отметили, что уязвимость не угрожала смартфонам iPhone XS, XS Max и
XR, которые оснащены процессорами A12 с усовершенствованной защитой от
подобных атак. При этом исследователи полагают, что в iOS есть и другие
уязвимости, которые могли использоваться хакерами
