Výzkumníci skupiny Google Project Zero odhalili zranitelnost, která patří mezi největší v celé historii iOS platformy. Škodlivý malware zneužíval chyb v mobilním webovém prohlížeči Safari.
Odborník Ian Beer ze skupiny Google Project Zero vše vysvětluje na svém blogu. Útoky se tentokrát nemusely nikomu vyhnout. K nakažení totiž stačilo navštívit infikovanou webovou stránku.
Analytici skupiny Threat Analysis Group (TAG) posléze odhalili celkem pět různých chyb, které se nacházely od iOS 10 až po verzi iOS 12. Jinými slovy mohli útočníci zranitelností využívat minimálně dva roky, co byly tyto systémy na trhu.
Malware přitom využíval velmi jednoduchého principu. Po navštívení stránky se na pozadí spustil kód, který se snadno přenesl do zařízení. Hlavním účelem programu bylo sbírat soubory a odesílat polohová data v intervalu jedné minuty. A jelikož se program nakopíroval do paměti zařízení, v bezpečí před ním nebyly třeba ani takové iMessage.
TAG společně s Project Zero objevili celkem čtrnáct zranitelností napříč pěti zásadními bezpečnostními chybami. Z toho se celých sedm týkalo mobilního Safari v iOS, dalších pět už samotného kernelu operačního systému a dvě dokonce dokázaly obejít sandboxing. V době nálezu nebyla žádná zranitelnost opravena.
Foto: EverythingApplePro
Opraveno až v iOS 12.1.4
Odborníci z Project Zero informovali o chybách Apple a dali jim dle pravidel sedm dní do zveřejnění. K informování firmy došlo 1. února a společnost chybu opravila v aktualizaci uvedené 9. února ve verzi iOS 12.1.4.
Série těchto zranitelností je nebezpečná v tom, že útočníci mohli kód snadno šířit skrze postižené stránky. Jelikož pro nakažení zařízení stačí pouhé načtení webu a spuštění skriptů na pozadí, byl v nebezpečí v podstatě kdokoli.
Na anglickém blogu skupiny Google Project Zero je vše technicky vysvětleno. Příspěvek obsahuje množství podrobností a detailu. Je až s podivem, že pouhý webový prohlížeč může sloužit jako brána do vašeho zařízení. Uživatel nemusí být donucen cokoli instalovat.
Bezpečnost našich zařízení tak není dobré brát na lehkou váhu.
Zdroj: 9to5Mac