Google Project Zero -ryhmän tutkijat ovat havainneet haavoittuvuuden, joka on yksi iOS-alustan historian suurimmista. Haittaohjelmat käyttivät hyväkseen mobiili Safari -verkkoselaimen vikoja.
Google Project Zero -asiantuntija Ian Beer selittää kaiken blogissaan. Kenenkään ei tarvinnut tällä kertaa välttää hyökkäyksiä. Riitti vierailla tartunnan saaneella verkkosivustolla saadakseen tartunnan.
Threat Analysis Groupin (TAG) analyytikot löysivät lopulta yhteensä viisi erilaista vikaa, joita oli iOS 10:stä iOS 12:een. Toisin sanoen hyökkääjät saattoivat käyttää haavoittuvuutta vähintään kahden vuoden ajan siitä lähtien, kun nämä järjestelmät olivat markkinoilla.
Haittaohjelma käytti hyvin yksinkertaista periaatetta. Sivulla käynnin jälkeen taustalla juoksi koodi, joka siirtyi helposti laitteeseen. Ohjelman päätarkoituksena oli kerätä tiedostoja ja lähettää sijaintitietoja minuutin välein. Ja koska ohjelma kopioi itsensä laitteen muistiin, eivät edes tällaiset iMessages olleet suojassa siltä.
TAG ja Project Zero löysivät yhteensä neljätoista haavoittuvuutta viidestä kriittisestä tietoturvavirheestä. Näistä täydet seitsemän liittyi iOS-mobiili Safariin, viisi muuta itse käyttöjärjestelmän ytimeen ja kaksi onnistui jopa ohittamaan hiekkalaatikon. Löytöhetkellä haavoittuvuutta ei ollut korjattu.
Näiden haavoittuvuuksien sarja on vaarallinen, koska hyökkääjät voivat helposti levittää koodia kyseisten sivustojen kautta. Koska laitteen tartuttamiseen tarvitaan vain verkkosivuston lataaminen ja komentosarjojen suorittaminen taustalla, melkein kuka tahansa oli vaarassa.
Kaikki on teknisesti selitetty Google Project Zero -ryhmän englanninkielisessä blogissa. Postaus sisältää runsaasti yksityiskohtia ja yksityiskohtia. On hämmästyttävää, kuinka pelkkä verkkoselain voi toimia yhdyskäytävänä laitteeseesi. Käyttäjää ei pakoteta asentamaan mitään.
Siksi laitteidemme turvallisuutta ei kannata ottaa kevyesti.
Petr Škuta 
David Hanak 
