Google fandt sårbarheds-kæder brugt aktivt mod iOS-brugere: Gav Apple syv dage til at reagere

Illustration: Parilov, BigStock
I februar orienterede Google Apple om flere sårbarheder i iOS, som hackere udnyttede via hjemmesider.

I over to år har hackere vha. 14 sårbarheder - heriblandt en zero day - i iOS kunnet stjæle billeder, mails og adgangskoder fra iPhones og iPads, viser et nyt opslag på Googles Project Zero-blog.

De 14 forskellige svagheder gjorde det muligt at lave fem såkaldte exploit chains, hvor også helt opdaterede enheder kunne rammes. Som nogle ved, vil en zero day sige en sårbarhed, som ikke tidligere har været fremme, og som producenten endnu ikke har patched.

»Jeg vil ikke gå ind i diskussionen om, hvorvidt prisen på disse svagheder har været en, to eller tyve millioner dollars. Jeg vil i stedet sige, at alle disse priser virker meget lave for at kunne ramme og overvåge private aktiviteter for hele befolkninger,« skriver Ian Beer i bloggen.

Bloggen fortæller, at angrebene skete, når en iOS-enhed besøgte en række hackede hjemmesider, men fortæller ikke, præcis hvilke sider der er tale om. Teknikken med at lægge angrebs-kode ind på ellers legitime hjemmesider kaldes også for et vandhulsangreb.

Erfarne udviklere er bagmændene

Hverken Google eller Apple har endnu lavet guidelines for, hvordan iOS-brugere skal håndtere problemet, men ArsTechnica skriver, at en simpel løsning er at nulstille enheden helt.

Samme medie har talt med folk fra Project Zero, der oplyser, at koden brugt til at udnytte sårbarhederne er skrevet af dygtige og erfarne udviklere.

Som det ses i listen til højre, er sårbarhederne i høj grad blevet forsøgt brugt til at overvåge lokationsdata og data, der typisk er beskyttet af end-to-end-kryptering, som WhatsApp og iMessage.

Google kontaktede Apple 1. februar i år med beskeden, at iOS-producenten havde syv dage til at få det fikset, ellers ville Google gå til offentligheden, og Apple reagerede med en opdatering seks dage senere.

En sikkerhedsekspert fortæller til Wired, at det er banebrydende, at it-kriminelle på denne måde brænder en zero day-sårbarhed af på at ramme store mængder tilfældige enheder (via de kompromitterede hjemmesider) fremfor at benytte sårbarheden til et målrettet angreb.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize