„Google Project Zero“ grupės tyrėjai aptiko pažeidžiamumą, kuris yra vienas didžiausių iOS platformos istorijoje. Kenkėjiška kenkėjiška programa išnaudojo mobiliosios Safari žiniatinklio naršyklės klaidas.
„Google Project Zero“ ekspertas Ianas Beeris viską paaiškina savo tinklaraštyje. Šį kartą atakų išvengti niekam nereikėjo. Užteko apsilankyti užkrėstoje svetainėje, kad užsikrėstumėte.
Grėsmių analizės grupės (TAG) analitikai galiausiai aptiko penkias skirtingas klaidas, kurios buvo nuo iOS 10 iki iOS 12. Kitaip tariant, užpuolikai galėjo naudotis pažeidžiamumu mažiausiai dvejus metus nuo tada, kai šios sistemos buvo rinkoje.
Kenkėjiška programa naudojo labai paprastą principą. Apsilankius puslapyje, fone veikė kodas, kuris buvo lengvai perkeltas į įrenginį. Pagrindinis programos tikslas buvo rinkti failus ir siųsti vietos duomenis vienos minutės intervalais. O kadangi programa pati nusikopijavo į įrenginio atmintį, net tokie iMessages nuo jos nebuvo apsaugoti.
TAG kartu su Project Zero aptiko iš viso keturiolika pažeidžiamumų, susijusių su penkiais kritiniais saugumo trūkumais. Iš jų visi septyni buvo susiję su mobiliuoju „Safari“ iOS sistemoje, dar penki – su pačios operacinės sistemos branduoliu, o dviem netgi pavyko apeiti smėlio dėžę. Atradimo metu joks pažeidžiamumas nebuvo užtaisytas.
Šių pažeidžiamumų serija yra pavojinga, nes užpuolikai gali lengvai paskleisti kodą paveiktose svetainėse. Kadangi viskas, ko reikia įrenginiui užkrėsti, yra įkelti svetainę ir paleisti scenarijus fone, beveik visiems iškilo pavojus.
Viskas techniškai paaiškinta Google Project Zero grupės angliškame tinklaraštyje. Įraše yra daug detalių ir detalių. Nuostabu, kaip paprasta žiniatinklio naršyklė gali veikti kaip vartai į jūsų įrenginį. Vartotojas nėra verčiamas nieko įdiegti.
Petras Škuta 
Davidas Hanakas 
