Smartfony Apple są zwykle uznawane za jedne z najbezpieczniejszych dzięki systemowi iOS. Badacze bezpieczeństwa w Google znaleźli jednak szereg złośliwych stron internetowych, które stanowią zagrożenie dla danych osób, odwiedzających je przez iPhone’y. Za ich pomocą niepożądane osoby mogły włamać się na smartfony ofiar, wykorzystując nieujawnione przez lata luki w oprogramowaniu smartfonów.
Google w serii wyczerpujących postów na stronie Project Zero opublikowało wyniki badań bezpieczeństwa, z których wynika, że szkodliwe witryny były odwiedzane przez niczego niepodejrzewające osoby tysiące razy. Jak twierdzi jeden z badaczy, który odkrył niepożądaną właściwość wspomnianych stron, Ian Beer (szanuję kolegę za nazwisko):
„Wystarczyło odwiedzić zaatakowaną witrynę, aby serwer zaatakował nasze urządzenie, a jeśli się to powiodło, instalował implant monitorujący.”
Badacze odkryli pięć różnych programów mających na celu wykorzystanie w sumie 12 oddzielnych błędów bezpieczeństwa, które występowały między innymi w Safari – przeglądarce domyślnie działającej na iPhone’ach. Jeśli programom tym udało się uruchomić na iPhonie użytkownika, zyskiwały one najwyższy poziom dostępu i uprawnień na smartfonie. Nawet właściciel telefonu miał w tym momencie mniej opcji modyfikacji systemu.
Udało się potwierdzić, że luki wykorzystano do kradzieży zdjęć i wiadomości użytkowników, a także do śledzenia ich lokalizacji w czasie rzeczywistym. „Implant” mógł samodzielnie instalować kolejne podejrzane aplikacje i miał dostęp do banku zapisanych haseł na urządzeniu. Luki dotyczą iOS 10 aż do aktualnej wersji iOS 12.
Apple już wydało odpowiednie zestawy poprawek
Niebezpieczeństwo zostało zażegnane wraz z wydaniem iOS 12.4, a luki bezpieczeństwa zostały załatane razem z innymi zgłoszonymi do Apple przez Google. Specjaliści z Mountain View zauważyli je w lutym, dając Apple tydzień na naprawienie błędów. O fakcie, że były to poważne uchybienia, świadczy krótkie ultimatum – zwykle programistom daje się na taką operację 90 dni. Developerom opiekującym się oprogramowaniem iPhone’ów zajęło to 6 dni.
Jako że od wydania iOS 12.4 minęło wystarczająco dużo czasu, Google mogło udostępnić wyniki swoich badań publicznie, przekazując więcej szczegółów związanych z powyższymi niedopatrzeniami.
Apple uruchamia program nagród, które mają motywować specjalistów do szukania podobnych luk bezpieczeństwa. W puli jest nawet 1 milion dolarów, więc „dobrzy hakerzy” będą mogli wykazać się swoimi umiejętnościami.
Szukanie luk w macOS stanie się opłacalne? Apple ma uruchomić program nagród
źródło: Google przez TechCrunch
