Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Google demaskuje exploity 0days użyte na Androida oraz iOS. „Obecnie nawet mniejsi dostawcy rozwiązań spyware mają dostęp do 0dayów”

29 marca 2023, 15:35 | W biegu | komentarze 3

Zobaczcie na te dwie kampanie opisywane na blogu Google. W jednej z nich (koniec 2022 roku) ofiara otrzymywała SMSa z rzekomym problemem z paczką. Po kliknięciu była przekierowywana na stronę z exploitem, która po zainfekowaniu telefonu kierowała na prawdziwe serwisy firm kurierskich (to ostatnie oczywiście dla niepoznaki):

When clicked, the links redirected visitors to pages hosting exploits for either Android or iOS then redirected them to legitimate websites such as the page to track shipments

Seria wykorzystywanych exploitów wyglądała podobnie w przypadku Androida oraz iOS:

  • Podatność w przeglądarce Chrome lub Safari (pierwsza część exploitu) umożliwiająca wykonanie kodu w OS
  • Podatność umożliwiająca wyskoczenie z sandboxu przeglądarki (kolejna część exploitu) do głównego OS
  • Podatność w Androidzie lub iOS umożliwiająca podniesienie uprawnień atakującego do system lub wręcz uprawnień jądra systemu na telefonie (finalna część exploitu)

Ostatecznie zatem atakujący miał absolutny dostęp praktycznie do wszystkiego w telefonie. Google wspomina tutaj niszowego gracza na rynku mobilnego spyware – firmę Variston:

(…) commercial spyware vendor Variston. The exploit chain ultimately delivered a fully featured Android spyware suite written in C++ that includes libraries for decrypting and capturing data from various chat and browser applications.

Na koniec Google dodaje, że nawet mniejsi producenci spyware mają obecnie dostęp do podatności 0-days, a co więcej istnieje spora szansa, że firmy działające w tej branży wymieniają się informacjami o dziurach w systemach mobilnych:

Even smaller surveillance vendors have access to 0-days, and vendors stockpiling and using 0-day vulnerabilities in secret pose a severe risk to the Internet. These campaigns may also indicate that exploits and techniques are being shared between surveillance vendors, enabling the proliferation of dangerous hacking tools.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Czesio

    Od dawna uwazam ze korzystanie z aplikacji/ustawien domyslnych to ZUO.
    Nie mozna wykorzystac podatnosci w Chrome jesli Chrome nie ma uprawnien dostepu do sieci, a domyslna przegladarka w fonie jest FF, nieprawdaz?

    Odpowiedz
  2. Rtp

    wpis mi się nie podobał. Fałszywe ostrzeżenia i złodzieje atakują co tydzień tak samo latami. Dane są wykradane z baz. Bank i policja nie zabezpiecza, takie zabezpieczenia jak zmuszają to jakby swiatlo włączać lewą ręką. Magia i co to ma dać????

    Odpowiedz
  3. Przemek

    Czas wrócić do tel. tarczowych na kabelku 😉

    Odpowiedz

Odpowiedz