Хакери засегнаха голяма група потребители на iOS устройства – това стана ясно от екипа от експерти по сигурност “Google Project Zero”. Целта на професионалистите е да откриват уязвимости и да споделят за тях публично в името на подобрения в сигурността.

Последното неприятно откритие на екипа е колекция от сайтове, които са целели да проникнат в iOS устройствата на потребителите, посещаващи ги през продукти на Apple. За да бъдете засегнати е било достатъчно само да посетите сайта – тогава злонамереният сървър атакува устройството ви и при успех, инсталира добавка за мониторинг на активността ви. Това означава, че са откраднати пароли, криптирани съобщения, местоположение, контакти и всякаква друга чувствителна информация, която може да послужи за чужди цели. Подходът е известен като “watering-hole attack” – избират се внимателно поредица от сайтове, закача се за тях злонамерен софтуер, а жертвите сами идват, заразяват се и попадат в “дупката”, без видима индикация, че нещо се инсталира на устройството им.

https://t.co/wCRNF1ycq2 thanks to @_clem1, @5aelo for their joint work on this. This has been a huge effort to pull apart and document almost every byte of a multi-year in-the-wild exploitation campaign, which used 14 different iOS exploits.

— Ian Beer (@i41nbeer) August 30, 2019

Списъкът със засегнатите сайтове не е публичен, но екипът определя сайтовете като “уебсайтове с хиляди посетители седмично”. В атаката са попаднали почти всички версии от iOS 10 до iOS 12. Атаката се оценява като най-голямата някога известна атака срещу потребители на iPhone, продължила най-малко две години. След кражбата данните са били отправени към команден и контролен сървър. Всички, които са обновили своя iPhone от февруари 2019 г. насам в момента са защитени, тъй като уязвимостта е била закрепена тогава.

Според Google Project Zero става въпрос за група, която полага регулярни усилия да хаква потребители на iPhone в определени общности през период от (поне) две години,  което включва 5 т.нар. „експлоатационни вериги“ с 14 уязвимости и поне една активна, която не е публично достояние т.е. тип “0 day exploits”.

Подробен анализ на техническите грешки, допуснати в кода и довели да уязвимостта, можете да откриете в блога.