iPhone: 14 podatności, 0-day, dostęp do WhatsApp, Telegrama, SMS-ów, danych geolokalizacyjnych, Gmaila. Trwająca 2 lata kampania instalująca „niewidoczny implant”.

30 sierpnia 2019, 17:16 | Aktualności | 1 komentarz
Tagi: ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Zobaczcie ten unikalny wpis od googlowego Projektu Zero: „A very deep dive into iOS Exploit chains found in the wild”. Opisane zostało aż 5 łańcuchów exploitów (w sumie 14 podatności, z czego co najmniej jeden błąd klasy 0-day), które zostały dostrzeżone w Internecie. Dokładniej – zainfekowane były  pewne strony, które po odwiedzeniu „po cichu” instalowały stosowny implant na urządzeniach ofiar. Użytkownik nie musiał wykonać żadnej dodatkowej interakcji, nie widział też żadnych podejrzanych efektów:

There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, and if it was successful, install a monitoring implant. We estimate that these sites receive thousands of visitors per week.

Co robił implant? W zasadzie wszystko – bo omijał mechanizm sandboksa oraz pracował z pełnymi uprawnieniami root:

In the earlier posts we examined how the attackers gained unsandboxed code execution as root on iPhones. At the end of each chain we saw the attackers calling posix_spawn, passing the path to their implant binary which they dropped in /tmp. This starts the implant running in the background as root. There is no visual indicator on the device that the implant is running.

Choć celował w określone elementy:

The implant is primarily focused on stealing files and uploading live location data. The implant requests commands from a command and control server every 60 seconds.

Czyli interesujące były dane geolokalizacyjne i pliki. Przy czym „pliki” nie były byle jakie:

The implant has access to all the database files (on the victim’s phone) used by popular end-to-end encryption apps like Whatsapp, Telegram and iMessage.

WhatsApp

Ekipa Googla zgłosiła temat(y) do Apple już w lutym tego roku, dając na załatanie czas 7 dni. Termin co ciekawe został dotrzymany i Apple wypuściło stosownego patcha. Ile mogą być warte takie podatności? Na blogu Google pojawia się ten wątek:

(…) I shan’t get into a discussion of whether these exploits cost $1 million, $2 million, or $20 million. I will instead suggest that all of those price tags seem low for the capability to target and monitor the private activities of entire populations in real time.

Parafrazując: wielu dało by cenę i większą niż $20 milionów USD  za możliwość cichego monitorowania w czasie rzeczywistym aktywności dużej grupy osób (w tym pełnego dostępu do telefonów).

Rozbudowane, techniczne szczegóły macie tutaj:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. ABlam

    ciekawe tylko dlaczego nikt nie chce powiedzieć które strony były zainfekowane – coś mi się widzi że nie tylko andr0id 0-day warez i viagra st0re, tylko jakiś duży portal / strony rządowe…

    Odpowiedz

Odpowiedz na ABlam