We use cookies to ensure that we give you the best experience on our website.

ניצול אייפון באתרי אינטרנט שנפרצו לא היו מורגשים במשך שנים

חוקרים מיוזמת האבטחה Project Zero של גוגל חשפו ביום חמישי את הגילוי של אוסף של אתרי אינטרנט שנפרצו שבמשך שנים אירחו סדרה של ניצולים המיועדים לדגמי אייפון עד לאייפון X המריצים את הגרסה הנוכחית של iOS 12.

מתואר ב אפוסט בבלוג, גוגל אמרה שקבוצת ניתוח האיומים שלה (TAG) חשפה את "האוסף הקטן" של אתרים מוקדם יותר השנה.

"האתרים הפרוצים שימשו בהתקפות חסרות הבחנה של בורות מים נגד המבקרים שלהם, תוך שימוש באייפון 0-day", כותב איאן ביר של Project Zero. "לא הייתה אפליה מטרה; פשוט ביקור באתר הפרוץ הספיק כדי ששרת הניצול יתקוף את המכשיר שלך, ואם זה הצליח, התקן שתל ניטור".

באר מעריכה שהאתרים זוכים לאלפי מבקרים בשבוע.

TAG מאמינה שהפריצות הן פרי עבודתו של שחקן גרוע, שבמשך תקופה של שנתיים לפחות, ביצע מבצע לחדירת דמוגרפיה נבחרים של משתמשי אייפון שממוקדים על ידי האתרים הלא נחשפים. הקבוצה מצאה עדויות לחמש רשתות ניצול ייחודיות של אייפון המכסות "כמעט כל גרסה" של iOS מ-iOS 10 ועד האיטרציה הנוכחית של iOS 12. מכשירי האייפון המושפעים נעים מ-iPhone 5s ועד אייפון X.

בסך הכל, חוקרי גוגל גילו 14 נקודות תורפה המשפיעות על דפדפן האינטרנט, הליבה וארגז החול של מנגנון האבטחה של אייפון, אחת מהן הייתה יום אפס.

כפי שצוין על ידילוח אם, שדיווחה על הממצאים של גוגלמוקדם יותר היום, המנצלים שימשו לפריסת שתל שנועד לגנוב קבצים ולהעלות נתוני מיקום GPS בזמן אמת. בנוסף, השתלניגש למחזיק מפתחות של משתמש, תכונה האחראית לאחסון מאובטח של סיסמאות ומסדי נתונים של אפליקציות הודעות מוצפנות מקצה לקצה כמו iMessage. זה גם לקח עותקים של נתוני אנשי קשר ותמונות, כותב באר.

בעוד שהתוכנה הזדונית מנוקה מאייפון נגוע עם אתחול מחדש, באר מציין שתוקפים עשויים להיות מסוגלים "לשמור על גישה מתמשכת לחשבונות ושירותים שונים על ידי שימוש באסימוני האימות הגנובים ממחזיק המפתחות, גם לאחר שהם יאבדו גישה למכשיר". לחלופין, ביקור באתר הפרוץ יתקין מחדש את השתל.

גוגל הודיעה לאפל על הנושא ב-1 בפברואר, והציגה לחברה חלון של שבעה ימים בו ניתן לסתום את החורים. אפל שחררה לאחר מכן תיקון עםiOS 12.1.4 ב-7 בפברוארוחשפה את הממצאים של גוגל בקובץ נלווהמסמך תמיכה.

גם עדכון iOS 12.1.4 של אפלתיקן זוגשל פגמים ב-Foundation וב-IOKit שהתגלו על ידי מנהיג צוות Project Zero של גוגל, בן הוקס. שתי הפגיעויות של יום אפס שימשו לפריצת מכשירים בטבע.

Related articles