据ProjectZero报道,至少两年来,一群被黑客攻击的网站一直在暗中危害全补丁的iPhone。
谷歌ProjectZero报告的研究人员称,至少两年来,一小部分被黑客攻击的网站在一场影响数千台设备的大规模活动中一直在攻击iPhone。
“零项目”的IanBeer在周四晚些时候公布的一份披露报告中称,这些网站利用之前未知的漏洞,通过不加区分的“水坑”攻击,悄悄地渗透到iPhone中。他估计,受影响的网站每周都会收到数千名访问者,这突显出一场运动的严重性,这场运动扰乱了长期以来对苹果产品安全的看法。
“没有目标歧视;仅仅访问被黑客攻击的网站就足以让漏洞服务器攻击你的设备,如果成功的话,安装一个监控设备,”比尔解释说。
谷歌的威胁分析小组(TAG)发现了五条漏洞攻击链,几乎覆盖了从iOS 10到最新版本iOS 12的每个操作系统版本。这些链连接了安全漏洞,因此攻击者可以绕过几层保护。他们总共利用了14个漏洞:7个影响Safari浏览器,5个用于内核,2个沙盒逃逸。
当毫无戒心的受害者访问这些自2017年以来一直存在的恶意网站时,该网站将对该设备进行评估。如果iPhone易受攻击,它将加载监控恶意软件。比尔写道,这主要用于窃取文件和上传用户的实时位置数据。
该恶意软件允许访问所有受害者的数据库文件,这些文件由WhatsApp、Telegram和IMessage等应用程序使用,因此攻击者可以查看发送和接收的纯文本消息。Beer演示了攻击者如何上传私人文件、复制受害者的联系人、窃取照片以及每分钟跟踪实时位置。该植入程序还上传了包含凭证和证书的设备密钥链,以及用户用来访问多个帐户的单一登录等服务所使用的令牌。
Beer指出,没有视觉指示器来告诉受害者植入物正在运行,恶意软件每隔60秒就从命令和控制服务器请求命令。
他说:“植入物可以访问设备上几乎所有可用的个人信息,这些信息可以不加密地上传到攻击者的服务器上。”它不会在设备上持续存在;如果iPhone重新启动,除非设备被重新利用,否则植入不会运行。尽管如此,考虑到他们拥有的数据量,攻击者可能会在没有恶意软件的情况下保持持久性。
谷歌最初在2月份发现了这一活动,并将其报告给了苹果,给了苹果一周时间来解决这个问题。苹果在iOS 12.1.4中对其进行了修补,于2019年2月7日发布。
iPhone、MacBooks和其他苹果设备被广泛认为比竞争对手更安全。人们普遍认为,昂贵的零日攻击是为特定的、高价值的受害者保留的。谷歌的发现消除了这两个假设:这个攻击小组演示了如何利用零天来通过黑客攻击更多的人来造成破坏。