Исследователи из группы Google Project Zero обнаружили уязвимость, которая является одной из крупнейших в истории платформы iOS. Вредоносное ПО использовало ошибки в мобильном веб-браузере Safari.
Эксперт Google Project Zero Ян Бир объясняет все в своем блоге. На этот раз никому не пришлось избегать атак. Чтобы заразиться, достаточно было посетить зараженный сайт.
Аналитики из Threat Analysis Group (TAG) в итоге обнаружили в общей сложности пять различных ошибок, которые присутствовали от iOS 10 до iOS 12. Другими словами, злоумышленники могли использовать уязвимость в течение как минимум двух лет с момента появления этих систем на рынке.
Вредоносная программа использовала очень простой принцип. После посещения страницы в фоновом режиме запускался код, который легко передавался на устройство. Основная цель программы заключалась в сборе файлов и отправке данных о местоположении с интервалом в одну минуту. А поскольку программа скопировала себя в память устройства, от нее не были застрахованы даже такие iMessages.
TAG совместно с Project Zero обнаружили в общей сложности четырнадцать уязвимостей в пяти критических уязвимостях. Из них целых семь относились к мобильному Safari в iOS, еще пять — к ядру самой операционной системы, а два даже сумели обойти песочницу. На момент обнаружения ни одна уязвимость не была исправлена.
Об этом сообщили эксперты Project Zero. Ошибки Apple и дали им семь дней по правилам до публикации. Компания была уведомлена 1 февраля, и компания исправила ошибку в обновлении iOS 9, выпущенном 12.1.4 февраля.
Серия этих уязвимостей опасна тем, что злоумышленники могут легко распространить код по пораженным сайтам. Поскольку для заражения устройства достаточно загрузить веб-сайт и запустить скрипты в фоновом режиме, риску подвергся практически каждый.
Технически все объяснено в англоязычном блоге группы Google Project Zero. Пост содержит массу подробностей и подробностей. Удивительно, как простой веб-браузер может выступать в качестве шлюза к вашему устройству. Пользователь не обязан ничего устанавливать.
Поэтому к безопасности наших устройств нельзя относиться легкомысленно.
Петр Шкута 
Дэвид Ханак 
