Google podal hlášení o chybě v iOS, které prý přinejmenším dva roky využívali neznámí útočníci. Ti se do zařízení pokoušeli přes webové stránky instalovat škodlivý software za účelem získávání kontaktů, fotografií a dalších dat. Dle analýzy Googlu se jednalo o stránky vykazující tisíce návštěv týdně. Své cíle si přitom útočníci nijak nevybírali.
„K pokusu o napadení telefonu stačilo pouhé navštívení stránky. A pokud byl úspěšný, do zařízení byl nainstalován sledovací program,“ říká Ian Beer, bezpečnostní expert googlovského Projektu Zero. Dle reportu útočníci k napadení využívali dvanáct různých bezpečnostních chyb, z nichž většinu obsahoval nativní applovský prohlížeč Safari.
Kradená data pak škodlivý program odesílal na server útočníků každých šedesát vteřin. Vedle kontaktů a fotografií se přitom jednalo o data z GPS nebo používaných aplikací, včetně googlovských produktů Gmail a Hangouts. Zranitelné prý byly „skoro všechny“ verze iOS od 10 až po poslední 12.
„To naznačuje, že snaha útočníků trvala minimálně dva roky.“ Na rozdíl od řady jiných podobných reportů, které zpravidla informují o chybách, které lze zneužít potenciálně, tuto dle Beera hackeři zneužívali s jistotou. O jejich identitě nebo o tom, o jak lukrativní nástroj může na černém trhu jít, se Beer nezmiňuje. Některé tzv. zero day hrozby, tedy ty, které ještě nejsou obecně známy, však můžou mít hodnotu řádově milionů dolarů.
Google prý společnost Apple o problému informoval už začátkem února a ta obratem vydala potřebný patch. Pro server BBC, který o něm aktuálně informuje, však Apple už další komentář nepřidal. Uživatelé by se tak měli alespoň ujistit, že mají nainstalovanou nejnovější aktualizaci iOS.
PŘEDPLATNÉ
ČLÁNKY DO MAILU