iPhone-okat évek óta csendben hackelő weboldalakra figyelmeztet a Google biztonsági szakértője

 ( trey | 2019. augusztus 30., péntek - 9:30 )

Ian Beer, a Google elismert P0 csapatának tagja arról blogolt minap, hogy kifinomult iOS exploit-láncokat (a sikeresség érdekében több különálló exploit összefűzve) találtak az internet nagyközönség által látogatott részein. Az oldalak legalább két éve támadták a látogatókat válogatás nélkül:

Earlier this year Google's Threat Analysis Group (TAG) discovered a small collection of hacked websites. The hacked sites were being used in indiscriminate watering hole attacks against their visitors, using iPhone 0-day.

There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, and if it was successful, install a monitoring implant. We estimate that these sites receive thousands of visitors per week.

TAG was able to collect five separate, complete and unique iPhone exploit chains, covering almost every version from iOS 10 through to the latest version of iOS 12. This indicated a group making a sustained effort to hack the users of iPhones in certain communities over a period of at least two years.

I’ll investigate what I assess to be the root causes of the vulnerabilities and discuss some insights we can gain into Apple's software development lifecycle. The root causes I highlight here are not novel and are often overlooked: we'll see cases of code which seems to have never worked, code that likely skipped QA or likely had little testing or review before being shipped to users.

Részletek a blogbejegyzésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Mindeközben.
--
ne terelj

Azért akad némi különbség a végkimenetelben: https://googleprojectzero.blogspot.com/2019/08/implant-teardown.html

Miért érdekes adalék egy iOS problémához, hogy van hasonló az Androidon is? (mindezt "ne terelj" aláírással :)

--
Desktop: Windows10 | Server: CentOS

iOS bug vs 3rd party app Androidon

ne terelj

Esetleg érdemes megemlíteni (akik nem olvassak el a blogbejegyzést), hogy ezen hibák az iOS 12.1.4 verziójával javításra kerültek (2019 Február 7-én).

12.4.1 lesz az.

Szerintem ez a cikk kevésbé a konkrét hibákról szól mint inkább arról, hogy weboldalakon gyakorlatilag minden olyan látogatót éveken át támadtak, akik a megcélzott csoportban voltak. És éveken át nem derült ki. Mostanáig.