Google diu que els llocs web maliciosos han estat piratejant iPhones en silenci durant anys
Imatge: Stefan Jaitner/picture Alliance a través de Getty ImagesEn el que pot ser un dels atacs més grans contra usuaris d'iPhone mai, els investigadors de Google diuen que van descobrir una sèrie de llocs web piratejats que estaven llançant atacs dissenyats per piratejar iPhones. Els llocs web van lliurar el seu programari maliciós indistintament, es visitaven milers de vegades a la setmana i van estar operatius durant anys, va dir Google.
'No hi va haver cap discriminació d'objectius; simplement visitar el lloc piratejat va ser suficient perquè el servidor d'explotació atacés el vostre dispositiu i, si va tenir èxit, instal·leu un implant de monitorització. Calculem que aquests llocs reben milers de visitants per setmana', Ian Beer, del Projecte Zero de Google, va escriure en una entrada al blog publicat dijous.
Alguns dels atacs van utilitzar els anomenats exploits de dia zero. Es tracta d'un exploit que aprofita una vulnerabilitat de la qual l'empresa afectada, en aquest cas Apple, no és conscient, per tant, no han tingut 'zero dies' per trobar una solució. En termes generals, els atacs de dia zero poden ser molt més efectius per piratejar telèfons o ordinadors amb èxit perquè l'empresa no coneix la vulnerabilitat i, per tant, no l'ha solucionada.
Les explotacions de l'iPhone són relativament cares i l'iPhone és difícil de piratejar. El preu d'una cadena d'explotació completa d'un iPhone totalment actualitzat té es va estendre fins a almenys 3 milions de dòlars . Això inclou diverses vulnerabilitats per a diferents parts del sistema operatiu de l'iPhone, inclòs el navegador, el nucli i d'altres per escapar del sandbox d'una aplicació, que està dissenyada per mantenir el codi executant-se només a la part del telèfon que se suposa.
Treballes a empreses que venen aquest tipus d'explotacions? Acostumes a fer-ho? Ens encantaria saber de vosaltres. Si utilitzeu un telèfon o un ordinador que no sigui de la feina, podeu contactar amb Joseph Cox de manera segura a Signal al +44 20 8133 5190, Wickr a josephcox, xat OTR a jfcox@jabber.ccc.de o correu electrònic a joseph.cox@gswconsultinggroup.com.com.
Beer escriu que el grup d'anàlisi d'amenaces (TAG) de Google va poder recollir cinc cadenes d'explotació d'iPhone diferents basades en 14 vulnerabilitats. Aquestes cadenes d'explotació cobrien versions des d'iOS 10 fins a l'última iteració d'iOS 12. Almenys una de les cadenes era un dia zero en el moment del descobriment i Apple va solucionar els problemes al febrer després que Google els avisés, escriu Beer.
Un cop l'atac hagi explotat amb èxit l'iPhone, pot desplegar programari maliciós al telèfon. En aquest cas, 'l'implant es centra principalment a robar fitxers i carregar dades d'ubicació en directe. L'implant sol·licita ordres d'un servidor d'ordres i control cada 60 segons', escriu Beer.
L'implant també té accés al clauer de l'usuari, que conté contrasenyes, així com les bases de dades de diverses aplicacions de missatgeria xifrada d'extrem a extrem, com Telegram, WhatsApp i iMessage, continua la publicació de Beer. El xifratge d'extrem a extrem pot protegir els missatges de la lectura si s'intercepten, però menys si un pirata informàtic ha compromès el propi dispositiu final.
L'implant no té persistència, però; Si un usuari reinicia el seu iPhone, esborrarà el programari maliciós, explica Beer. Però una infecció encara pot, per descomptat, oferir un tresor d'informació sensible.
'Tenint en compte l'amplitud de la informació robada, els atacants poden, tanmateix, poder mantenir un accés persistent a diversos comptes i serveis mitjançant l'ús dels testimonis d'autenticació robats del clauer, fins i tot després de perdre l'accés al dispositiu', escriu Beer. La informació també es transfereix al servidor sense xifrar, afegeix la publicació.
S'han documentat atacs prèviament més orientada a la naturalesa , normalment mitjançant un missatge de text enviat a l'objectiu, juntament amb un enllaç a un lloc maliciós, de vegades només per a aquest objectiu. Aquest atac sembla, o almenys té el potencial de ser, d'abast més ampli.
'Això indica que un grup està fent un esforç sostingut per piratejar els usuaris d'iPhone en determinades comunitats durant un període d'almenys dos anys', va afegir Beer.
Apple no va respondre immediatament a una sol·licitud de comentari.
Actualització: aquesta peça s'ha actualitzat per incloure més informació de la publicació del bloc de Google.
Subscriu-te al nostre nou podcast de ciberseguretat, CYBER.