Следующая новость
Предыдущая новость

Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS

30.08.2019 22:02
Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS

Рекомендуем почитать:

Xakep #244. Атаки по сторонним каналам

  • Содержание выпуска
  • Подписка на «Хакер»

Весной текущего года специалисты Google Project Zero выявили 14 уязвимостей в iOS, которые были сгруппированы в пять цепочек эксплоитов и применялись против пользователей с 2016 года. Хотя обычно уязвимости в iOS используются направлено, для взлома конкретных целей, в данном случае вредоносные сайты удаленно атаковали всех пользователей, посещавших ресурсы с помощью iPhone, без какого-либо взаимодействия со своими жертвами.

Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS
5 цепочек эксплоитов

«Не было никакой дискриминации: простого посещения взломанного сайта было достаточно, чтобы экплоит-сервер атаковал ваше устройство, и, если атака удалась, установил имплантат для мониторинга», — рассказывает Иан Бир (Ian Beer), эксперты команды Google Project Zero.

По данным Google, первый сайт, на котором были размещены эксплоиты, был запущен в эксплуатацию еще 13 сентября 2016 года. Похоже, все вредоносные сайты были попросту взломаны злоумышленниками, и эксплоиты на них были размещены атакующими, а не самими владельцами ресурсов. По оценке исследователей, вредоносные сайты насчитывал тысячи посетителей в неделю. Адреса и названия ресурсов исследователи не раскрывают.

Эксперты Google предупредили о найденных проблемах инженеров Apple, что привело к релизу iOS 12.1.4 в феврале 2019 года, где уязвимости были исправлены. Отчет исследователей гласит, что семь из обнаруженных ими проблем влияли на браузер iPhone, пять — на ядро, и еще две — позволяли совершить побег из песочницы. Эксплоиты предназначались для iOS версий 10.x, 11.x и 12.x.

Бир и его коллеги из Google Project Zero уже опубликовали подробный анализ всех пяти цепочек эксплоитов (1, 2, 3, 4, 5), а также подробно рассказали о JSC-эксплоите, с помощью которого хакеры осуществляли первичную атаку на браузеры жертв. Также был опубликован анализ имплантата (малвари), который в результате атак заражал iOS-устройства пострадавших. Данный имплантат мог похищать личные данные жертв, включая данные iMessages, контакты, фотографии и информацию о местоположении устройства в режиме реального времени. На скриншотах ниже можно увидеть примеры.

Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS
Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS
Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS
Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS
Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS
Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS

К счастью, малварь не могла поддерживать постоянное присутствие на устройстве, и простая перезагрузка iPhone позволяла избавиться от заражения (до тех пор, пока пользователь снова не посещал один из взломанных сайтов).

И хотя большинство эксплоитов предназначалось старых уязвимостей, которые Apple уже исправила ранее, по крайней мере одна из цепочек эксплоитов использовала 0-day проблемы Это касалось CVE-2019-7287 и CVE-2019-7286, исправленных в составе iOS 12.1.4 в феврале 2019 года.

Эксперты полагают, что могут существовать и другие подобные вредоносные кампании и эксплоиты, а обнаруженные сайты в Google называют случайной неудачей для злоумышленников.

«Я не стану обсуждать, стоят эти эксплоиты миллион долларов, два миллиона или двадцать. Вместо этого я замечу, что все эти суммы кажутся низкими для возможности в режиме реального времени прицельно атаковать и мониторить личную активность всего населения», — резюмирует Бир.

Источник

Последние новости