Chyby v iOS umožnily hacknout iPhone jen přes webovou stránku. Odhalil je až Google

30. 8. 2019

Výzkumníci skupiny Google Project Zero odhalili zranitelnost, která patří mezi největší v celé historii iOS platformy. Škodlivý malware zneužíval chyb v mobilním webovém prohlížeči Safari.

Odborník Ian Beer ze skupiny Google Project Zero vše vysvětluje na svém blogu. Útoky se tentokrát nemusely nikomu vyhnout. K nakažení totiž stačilo navštívit infikovanou webovou stránku.

Analytici skupiny Threat Analysis Group (TAG) posléze odhalili celkem pět různých chyb, které se nacházely od iOS 10 až po verzi iOS 12. Jinými slovy mohli útočníci zranitelností využívat minimálně dva roky, co byly tyto systémy na trhu.

Malware přitom využíval velmi jednoduchého principu. Po navštívení stránky se na pozadí spustil kód, který se snadno přenesl do zařízení. Hlavním účelem programu bylo sbírat soubory a odesílat polohová data v intervalu jedné minuty. A jelikož se program nakopíroval do paměti zařízení, v bezpečí před ním nebyly třeba ani takové iMessage.

TAG společně s Project Zero objevili celkem čtrnáct zranitelností napříč pěti zásadními bezpečnostními chybami. Z toho se celých sedm týkalo mobilního Safari v iOS, dalších pět už samotného kernelu operačního systému a dvě dokonce dokázaly obejít sandboxing. V době nálezu nebyla žádná zranitelnost opravena.

Foto: EverythingApplePro

Opraveno až v iOS 12.1.4

Odborníci z Project Zero informovali o chybách Apple a dali jim dle pravidel sedm dní do zveřejnění. K informování firmy došlo 1. února a společnost chybu opravila v aktualizaci uvedené 9. února ve verzi iOS 12.1.4.

Série těchto zranitelností je nebezpečná v tom, že útočníci mohli kód snadno šířit skrze postižené stránky. Jelikož pro nakažení zařízení stačí pouhé načtení webu a spuštění skriptů na pozadí, byl v nebezpečí v podstatě kdokoli.

Na anglickém blogu skupiny Google Project Zero je vše technicky vysvětleno. Příspěvek obsahuje množství podrobností a detailu. Je až s podivem, že pouhý webový prohlížeč může sloužit jako brána do vašeho zařízení. Uživatel nemusí být donucen cokoli instalovat.

Bezpečnost našich zařízení tak není dobré brát na lehkou váhu.

Zdroj: 9to5Mac

Témata: iOS 10, iOS 12, iMessage, safari, 9to5mac, paměť, Google, program, iOS, uživatel

Diskuze k článku

Vaše jméno

Váš komentář

Vyplněním shora uvedených údajů beru na vědomí, že společnost TEXT FACTORY s.r.o., sídlem Brno, Durďákova 336/29, Černá Pole, PSČ: 613 00, IČ: 06157831, zapsané u Krajského soudu v Brně, oddíl C, vložka 100399, bude zpracovávat mé osobní údaje uvedené v rámci mnou vyplněného registračního formuláře na základě oprávněných zájmů TEXT FACTORY s.r.o. dle čl. 6 odst. 1 písm. f) GDPR a pro splnění právních povinností (čl. 6 odst. 1 písm. c) GDPR), a to pro tyto účely: nezbytnost zajistit oprávnění návštěvníka webových stránek provozovaných společností TEXT FACTORY s.r.o. přispívat aktivně ke zveřejněným článkům nebo v rámci diskusních fór a výkon práv TEXT FACTORY s.r.o. jako administrátora těchto diskusních fór. Více informací o zpracování osobních údajů a právech lze nalézt v Poučení o ochraně osobních údajů. celý text

Mohlo by vás zajímat

Foto: EverythingApplePro

Opraveno až v iOS 12.1.4

Mohlo by vás zajímat

Související