Bild: David Becker / Getty
Google-Forscher beauftragt mit der Suche nach zero-day-Schwachstellen in freier Wildbahn ergaben am Donnerstag, dass eine kleine Sammlung von websites hatte, ziellos zu infizieren iPhone-Nutzer seit mindestens 2017. Die Seiten erhalten Tausende von Besuchern pro Woche, die Forscher sagte.
“Es war kein Ziel von Diskriminierung,” Ian Bier, ein Google-hacker und Mitglied der Gesellschaft der Project Zero-team, schrieb in einem blog. “Der Reine Besuch der Website gehackt wurde genug für die exploit-server für einen Angriff auf Ihren Gerät, und wenn es erfolgreich war, installieren ein monitoring-Implantat.”
Die Gruppe von Webseiten, eine Wasserstelle vorgesehen, zu gewinnen und zu infizieren iPhone-Nutzer, wurde zuerst entdeckt durch Google den Threat Analysis Group (TAG), Bier sagte. Einmal infiziert, die Angreifer hätten angeblich Zugang zu einer breiten Palette von privaten Informationen gehören, Ihre Opfer, insbesondere Ihre Standort-Daten, Passwörter und Kontakte, unter anderem sensible Daten.
Project Zero und TAG-schließlich entdeckte exploits für 14 Sicherheitslücken, die Links anfällig, alles aus der iPhone web-browser auf den kernel, den Kern des Betriebssystems. Mindestens ein exploit-Ketten wurde als eine zero-day-Schwachstelle, was bedeutet, es war unpatched zum Zeitpunkt der Entdeckung.
Apple wurde informiert im Februar und veröffentlicht ein Update innerhalb von sieben Tagen. Apple weitergegeben, die Aktualisierung zu dieser Zeit, beschreibt die Mängel, die als “memory corruption” Themen, die behandelt wurden mit “verbesserte Eingabe-Validierung.” Bier und Samuel Groß von der Project Zero und Clement Lecigne von TAG gegeben wurden, die Gutschrift für die zu finden.
“Echte Nutzer Gefahr, Entscheidungen auf der Grundlage der öffentlichen Wahrnehmung der Sicherheit dieser Geräte,” Beers schrieb. “Die Realität bleibt, dass Sicherheitsmaßnahmen nie beseitigen Sie die Gefahr, attackiert zu werden, wenn Sie angegriffen.”
“Gezielt könnte bedeuten, einfach nur die Geburt in eine bestimmte geografische region oder als Teil einer bestimmten ethnischen Gruppe”, sagte er. “Alles, das Benutzer tun können, ist uns der Tatsache bewußt sein, dass die Masse Ausbeutung noch existiert und sich entsprechend zu Verhalten; Sie behandeln Ihre mobilen Geräte sowohl als integraler Bestandteil Ihrer modernen Leben, aber auch als Geräte, die, wenn Sie gefährdet sind, können hochladen, Ihr jede Aktion in eine Datenbank, um möglicherweise gegen Sie verwendet werden.”
Sie können Lesen Project Zero ‘ s gesamte blog hier, das schließt Beiträge ein eintauchen in die jeder nutzen Kette.
Teilen Sie Diese Geschichte