Google открива сериозен пропуск в сигурността на iPhone

Злонамерени сайтове са можели да получат достъп до файлове, съобщения и данни за локацията
Специалистите по сигурността, които работят в екипа Project Zero на Google, са открили няколко хакнати уебсайта, които са използвали досега неизвестни пропуски в сигурността, за да компрометират всеки iPhone, през който са посетени, пише The Verge. Атаката е може би една от най-големите, извършвани някога срещу потребителите на iPhone. При влизане в някой от злонамерените уебсайтове, използвайки уязвимо устройство, то лични файлове, съобщения и данни за локацията на потребителите са били открадвани. След като в Apple са били уведомени за проблема, те са отстранили уязвимостите по-рано тази година.

Атаката също така е позволявала на сайтовете да инсталират имплант с достъп до "ключовата верига" на iPhone. По този начин хакерите са разполагали с всички сертификати и пароли в нея и са можели да влизат в базите данни на сигурни приложения за комуникация като WhatsApp и iMessage. Въпреки че тези приложения използват криптиране от край до край, за да изпращат съобщения, ако дадено крайно устройство е компрометирано, то хакерите могат да получат достъп до предишни криптирани съобщения под формата на чист текст.

Забележителното при тази атака е, че тя не е насочена към конкретна група потребителите. При нея посещението на даден сайт всъщност е достатъчно, за да се хакне устройството или за да инсталира имплант. Изследователите са установили, че компрометираните сайтове са били посещавани от хиляди потребители всяка седмица.

Инсталираният имплант все пак е можел да бъде изтрит, ако потребителите рестартират телефоните си. Специалистите обаче подчертават, че след като ключовата верига е засегната, то хакерите са можели да получат достъп до всички тоукъни за автентикация и това е можело да се използва, за да се поддържа достъпа до услугите и профилите дори след изтриването на импланта от телефона.

Като цяло са открити 14 уязвимост, които са засегнали iOS версиите от 10 до 12. От екипа, открил проблема, са се свързали с Apple през февруари и са дали на компанията само седем дни, за да го отстрани. Това е доста по-кратък период в сравнение с обичайния 90-дневен прозорец и вероятно причината се крие в сериозността на уязвимостите. Apple са внесли промени с iOS 12.1.4 – същият ъпдейт, който поправя и друг сериозен недостатък в сигурността FaceTime.

Въпреки че уязвимостта вече е отстранена, специалистите предупреждават, че има голяма вероятност да съществуват и други неоткрити проблеми.
още по темата

За първи път Apple ще излъчва събитието си на живо в YouTube

Вече зрителите няма да са ограничени само до уебсайта на компанията или Twitter
09.09.2019 / 10:30

Apple може би тества AR хедсет

Може би съвсем скоро ще видим AR технологията на Apple, за която отдавна има слухове
03.09.2019 / 10:43

$1 млн. награда за откриване на недостатъци в сигурността на iPhone

Аpple предлагат рекордно заплащане за експертите, които успеят да достъпят ядрото на знаковото за компанията устройство от разстояние, без допълнителна помощ
09.08.2019 / 09:54

Advanced Protection Program вече предлага защита срещу изтеглянето на рискови файлове в Chrome

Това е само една от последните промени в сигурността на Google профилите
07.08.2019 / 03:50
Twitter icon Facebook icon
Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук.