Ερευνητές της Google έχουν ανακαλύψει μία ομάδα ιστότοπων που τα τελευταία δύο χρόνια διεισδύουν κρυφά σε συσκευές iPhone.
Οι αναλυτές του τμήματος Project Zero της Google δημοσίευσαν ένα blog post την Πέμπτη το βράδυ, που περιγράφει λεπτομερώς τα ευρήματά τους.
“Δεν υπήρχε καμία διακριτική στόχευση, μία απλή επίσκεψη στον ιστότοπο που ήταν μολυσμένος, ήταν αρκετή ώστε ο server εκμετάλλευσης να επιτεθεί στη συσκευή σας και εάν ήταν επιτυχής, εγκαθιστούσε ένα εμφυτεύμα παρακολούθησης”, γράφει ο ερευνητής ασφαλείας Ian Beer στο blog post. Μόλις εισέλθει στο iPhone, αυτό το εμφύτευμα είναι σε θέση να κλέψει μηνύματα, φωτογραφίες και δεδομένα τοποθεσίας σε πραγματικό χρόνο.
Στην δημοσίευση δεν διευκρινίζεται πόσα είναι αυτά τα site, ωστόσο οι ερευνητές εκτιμούν, ότι το κάθε ένα από αυτά δέχεται χιλιάδες επισκέψεις σε εβδομαδιαία βάση. Τα hacks στόχευαν από το iOS 10 έως το iOS 12, κάτι που σύμφωνα με τον Beer δείχνει ότι γίνεται μία “διαρκής προσπάθεια” να χακαριστούν τα iPhone σε μία περίοδο δύο ετών.
Οι ιστότοποι αποκτούσαν πρόσβαση στα iPhone μέσω πέντε μεθόδων ή αλλιώς “αλυσίδων εκμετάλλευσης”. Οι ερευνητές βρήκαν 14 ξεχωριστές ευπάθειες που κατέστησαν δυνατές αυτές τις αλυσίδες εκμετάλλευσης. Επτά από αυτές τις ευπάθειες βρέθηκαν στο Safari, που είναι το προεπιλεγμένο πρόγραμμα περιήγησης στις συσκευές iPhone.
Οι ερευνητές γνωστοποίησαν στην Apple τα ευρήματά τους τον Φεβρουάριο και έδωσαν στην εταιρεία προθεσμία επτά ημερών για να διορθώσει τις ευπάθειες. Έξι ημέρες αργότερα, η Apple ενημέρωσε το λογισμικό ασφαλείας στο iOS 12. Η Google έδωσε στην Apple πολύ πιο αυστηρή προθεσμία από την συνηθισμένη, καθώς ο κανόνας είναι 90 ημέρες για να επιδιορθωθούν τέτοιου είδους θέματα.
Η Apple έχει αποκτήσει γενικά μία φήμη σχετικά με την ασφάλεια των συσκευών της και νωρίτερα αυτό το μήνα η εταιρεία αύξησε το χρηματικό ποσό που θα πληρώνει σε bug bounty, στo $ 1 εκατομμύριο.
