Apple исправила уязвимость, с помощью которой в течение двух лет можно было похитить пароли и фотографии с iPhone

Уязвимость в iOS обнаружили специалисты из исследовательской группы Google Project Zero, которая в начале 2018 года участвовала в раскрытии информации о Meltdown и Spectre.

Google Project Zero нашла уязвимость нулевого дня, через которую злонамеренные сайты могли похищать данные с iPhone. Среди скомпрометированных данных могли оказаться пароли, данные о геолокации и фотографии пользователей. Размещенный на таких сайтах код атаковал устройства через браузер, используя узкие места системы, которых в Google Project Zero нашли 14 штук.

Вирусный код работал на всех версиях iOS, включая iOS 12. При этом атака была бесполезна для iPhone XS и XR, в которых установлены чипы A12. Однако сейчас владельцы всех iPhone могут не волноваться, так как специалисты, обнаружившие уязвимость, сперва оповестили о проблеме Apple, и только, когда компания разослала своим пользователям обновление безопасности, опубликовали свое исследование. До обнаружения уязвимость была актуальна более двух лет.

В отчете Project Zero сообщает, что атаке были подвержены Safari и другие браузеры, использующие движок WebKit. Хакеры могли взломать не только iPhone, но и iPad, но целенаправленным атакам подвергались именно смартфоны.

Из 14 уязвимостей половина была связана именно с движком WebKit, еще пять касались ядра операционной системы, и две позволяли обходить правила работы песочницы приложений, в которой программы исполняются изолированно.

После загрузки на телефон вирус получал права суперпользователя (root), а затем каждую минуту отправлял хакерам данные различных приложений, при чем в расшифрованном виде.

Уязвимость нулевого дня (0-day) – наиболее опасный вид проблем информационной безопасности, так как о ней не знают ни пользователи, ни разработчики. Это значит, что у хакеров есть реальный шанс использовать такую уязвимость, ведь даже, когда ее обнаружат, программистам понадобится время на то, чтобы закрыть брешь. Именно поэтому исследования таких компаний, как Project Zero столь важны для защиты пользователей от потенциальных угроз.

После того, как специалисты по кибербезопасности обнаруживают неизвестную ранее угрозу, они первым делом уведомляют разработчиков. Project Zero сообщила Apple о новой уязвимости еще в феврале 2019 года. В открытом доступе информация появилась только 29 августа 2019 года, после того, как пользователям iOS пришло обновление.