Googles säkerhetsforskare varnar för att hackare använder skadliga webbplatser för att utnyttja iOS-brister och övervaka iPhone-användare

0 Shares

Svart iPhone

Hackare använder komprometterade webbplatser för att installera “övervakningsimplantat” på iPhones, varnar en säkerhetsforskare från Googles Project Zero.

Genom att dra nytta av sårbarheter i iOS och Safari kan hackare rikta in sig på enheter som kör allt från iOS 10 till iOS 12, med åtkomst till kontakter, bilder och annan data. Det hävdas att praxis har pågått i flera år, och att “helt enkelt besöka den hackade webbplatsen [is] tillräckligt för att exploateringsservern kan attackera din enhet “.
Se även:

Säkerhetsforskaren Ian Beer skriver på Project Zero-bloggen hur Googles Threat Analysis Group (TAG) upptäckte en liten samling hackade webbplatser tidigare i år som användes för att rikta sig till iPhone-användare. Han skriver: “De hackade sajterna användes i urskillningslösa vattenhålattacker mot sina besökare, med hjälp av iPhone 0-dagars”. Om attackerna lyckades skulle de “installera ett övervakningsimplantat”.

I det han beskriver som “ett mycket djupt dyk i iOS-exploateringskedjor som finns i naturen” bryter Beer ner fem separata iOS-instanser. Han varnar för att de erbjuder “förmågan att rikta in sig på och övervaka hela befolkningens privata aktiviteter i realtid”.

Dela detaljer om en utredning om “den verkliga funktionen i en kampanj som utnyttjar iPhones en massa”, skriver Beer:

Verkliga användare fattar riskbeslut baserat på allmänhetens uppfattning om säkerheten för dessa enheter. Verkligheten kvarstår att säkerhetsskydd aldrig kommer att eliminera risken för attacker om du riktas in. Att vara riktad kan innebära att man bara är född i en viss geografisk region eller är en del av en viss etnisk grupp. Allt som användare kan göra är att vara medveten om det faktum att massutnyttjande fortfarande existerar och uppträda därefter. behandla sina mobila enheter som båda integrerade i deras moderna liv, men också som enheter som när de äventyras kan ladda upp alla sina åtgärder i en databas för att eventuellt kunna användas mot dem.

Öl länkar till en serie mycket detaljerade uppskrivningar av exploateringen, och medan Apple fixade sårbarheterna i fråga tidigare i år är det värt att notera att inte alla iPhone-ägare uppdaterar sin programvara i rätt tid. Han kritiserar Apple och säger att i minst ett fall “test- och verifieringsprocesser borde ha identifierat denna exploateringskedja”.

Kolla in hela rapporten på ProjectZero-bloggen.

Bildkredit: Primakov / Shutterstock

0 Shares