facebook adres e-mail telefon

iPhone – masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia

Mit iPhone jako urządzenia znacznie bezpieczniejszego i odporniejszego na ataki właśnie poważnie się zachwiał. Zespół Google Project Zero opisał serię ataków na użytkowników iPhonów, w których urządzenia były masowo infekowane złośliwym oprogramowaniem.

To najważniejsza i najciekawsza wiadomość dotycząca bezpieczeństwa systemu iOS, jaką przyszło nam kiedykolwiek czytać i opisywać. Przez dwa lata trwały ataki na użytkowników iPhonów z aktualnym oprogramowaniem, którzy odwiedzali pewne strony internetowe. Każdy odwiedzający mógł zostać zainfekowany, a złośliwe oprogramowanie mogło wykradać z telefonów poufne informacje. Oto co wiemy o tym ataku.

Zaskakujące odkrycie

Częścią Google jest Threat Analysis Group – zespół monitorujący zagrożenia w sieci. To właśnie TAG odkrył na początku tego roku skuteczne ataki na iPhony, przeprowadzane przez pewne internetowe witryny. Niestety nic nie wiemy o tym, jakie były to strony ani kto był ofiarami ataków. Wiemy jedynie, że strony te były odwiedzane przez tysiące osób tygodniowo, a każda odwiedzająca je osoba używająca iPhona mogła zostać skutecznie zainfekowana złośliwym oprogramowaniem.

Masowy atak na użytkowników iPhone przez dwa lata infekował urządzenia

Ataki przeanalizował i bardzo obszernie opisał inny zespół, Google Project Zero. W sumie odkryto 14 (!) eksploitów na system iOS, składających się na 5 łańcuchów ataków. Ataki sięgały dwóch lat wstecz i dotykały wersje iOS od 10 do 12. W momencie wykrycia atakujący potrafili pokonywać zabezpieczenia najnowszego wówczas dostępnego wydania iOS, co wskazuje, że wcześniejsze wersje ataków mogły także dotyczyć iOS z pełnymi aktualizacjami.

Co wiemy o złośliwym oprogramowaniu

P0 opublikował także analizę samego implantu, który był wgrywany na zhakowane telefony. Co bardzo ważne, to złośliwe oprogramowanie było jedynie uruchamiane na zainfekowanym urządzeniu i nie przeżywało restartu. Do momentu restartu potrafiło jednak wykraść wiele informacji z iPhona ofiary. Narzędzie potrafiło między innymi odczytywać wiadomości z szyfrowanych komunikatorów takich jak WhatsApp, Telegram czy iMessage. Oczywiście w przypadku nieszyfrowanych komunikatorów takich jak np. Hangouts dane także były wykradane. Implant zbierał także informacje z aplikacji Gmaila, pełną bazę kontaktów czy wykonane zdjęcia. Dodatkowo umożliwiał śledzenie na żywo lokalizacji telefonu użytkownika.

Co bardzo ważne, implant wykradał bazę uwierzytelnień (keychain) oraz tokeny dostawców usług takich jak np. Google. To dawało atakującym dostęp do usług chmurowych ofiary nawet po tym, jak restart urządzenia usunął implant z telefonu ofiary.

Implant zbierał także informacje o zainfekowanym urządzeniu takie jak model urządzenia, nazwę, ICCID karty SIM, numer seryjny telefonu, numer telefonu, wersję systemu, rozmiar miejsca na dysku i aktywny interfejs sieciowy. Implant łączył się także co minutę z serwerem sterującym, oczekując na polecenia.

Wszystkie zebrane dane były przesyłane na serwer atakujących o stałym adresie IP. Co istotne, informacje były przesyłane jawnym tekstem, za pomocą protokołu HTTP. Brak było jakiegokolwiek szyfrowania, co oznacza, że każdy, kto dysponował możliwością podsłuchu łączy, mógł te dane wykraść po drodze.

Kto stoi za tym atakiem na iPhone

Odkrywcy ataku nie wspominają w żaden sposób, na kogo mogą wskazywać ślady. Jest jednak pewna poszlaka – a jest nią czas trwania ataków. Wydaje się nam niemożliwe, by tego rodzaju ataki wymierzone w użytkowników z Europy lub USA przeszły tak długo niezauważone. Dlatego podejrzewamy, że ich celem musiały być witryny i społeczności z dalszych zakątków świata. Biorąc pod uwagę poziom zaawansowania technicznego ataków jako pierwszych podejrzewalibyśmy Chiny – jednak brak jakichkolwiek innych podstaw do takiego wnioskowania.

Podsumowanie

Restart telefonu iPhone usuwa implant – to najważniejsza informacja. Druga ważna nowina – błędy zostały już dawno załatane i aktualny iOS nie jest podatny na opisywane warianty ataku. Niestety jest też trzecia informacja – na rynku jest ktoś, kto po raz pierwszy w historii przeprowadził serię ataków na wszystkich użytkowników iPhone odwiedzających daną witrynę. Do tej pory ataki na iPhone były ściśle celowane w konkretne osoby – jak jednak widać, ta epoka już się skończyła. W redakcji Iphonów nie wyrzucamy – ale musimy uwzględnić te wydarzenia w naszym modelu ryzyka.

Aktualizacja

Opublikowany przez Google Project Zero materiał jest bardzo obszerny – poniżej będziemy dopisywać inne istotne informacje, na jakie natrafimy w czasie analizy:

  • jeśli macie logi żądań HTTP POST ze swojej sieci, to poszukajcie ciągu „/list/suc?name=” – taki powinien znaleźć się z komunikacji implantu
  • dalsza lektura: główny post P0, analizy łańcuchów eksploitów 1, 2, 3, 4, 5, analiza implantu, analiza eksploitów na WebKita
  • z 14 odkrytych exploitów 7 atakowało przeglądarkę, 5 jądro systemu plus użyto dwóch różnych sposobów ucieczki z sandboksa

Źródło: zaufanatrzeciastrona.pl

Poprzedni artykuł:  AMD firma została ukarana

Masz pytania? Napisz do nas!

Wyślij wiadomość