Google fandt sårbarheds-kæder brugt aktivt mod iOS-brugere: Gav Apple syv dage til at reagere

2. september 2019 kl. 13:45
Google fandt sårbarheds-kæder brugt aktivt mod iOS-brugere: Gav Apple syv dage til at reagere
Illustration: Parilov, BigStock.
I februar orienterede Google Apple om flere sårbarheder i iOS, som hackere udnyttede via hjemmesider.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I over to år har hackere vha. 14 sårbarheder - heriblandt en zero day - i iOS kunnet stjæle billeder, mails og adgangskoder fra iPhones og iPads, viser et nyt opslag på Googles Project Zero-blog.

De 14 forskellige svagheder gjorde det muligt at lave fem såkaldte exploit chains, hvor også helt opdaterede enheder kunne rammes. Som nogle ved, vil en zero day sige en sårbarhed, som ikke tidligere har været fremme, og som producenten endnu ikke har patched.

»Jeg vil ikke gå ind i diskussionen om, hvorvidt prisen på disse svagheder har været en, to eller tyve millioner dollars. Jeg vil i stedet sige, at alle disse priser virker meget lave for at kunne ramme og overvåge private aktiviteter for hele befolkninger,« skriver Ian Beer i bloggen.

Bloggen fortæller, at angrebene skete, når en iOS-enhed besøgte en række hackede hjemmesider, men fortæller ikke, præcis hvilke sider der er tale om. Teknikken med at lægge angrebs-kode ind på ellers legitime hjemmesider kaldes også for et vandhulsangreb.

Erfarne udviklere er bagmændene

Hverken Google eller Apple har endnu lavet guidelines for, hvordan iOS-brugere skal håndtere problemet, men ArsTechnica skriver, at en simpel løsning er at nulstille enheden helt.

Artiklen fortsætter efter annoncen

iOS-sårbarheder kopierede og sendte data fra:

  • com.yahoo.Aerogram
  • com.microsoft.Office.Outlook
  • com.netease.mailmaster
  • com.rebelvox.voxer-lite
  • com.viber
  • com.google.Gmail
  • ph.telegra.Telegraph
  • com.tencent.qqmail
  • com.atebits.Tweetie2
  • net.whatsapp.WhatsApp
  • com.skype.skype
  • com.facebook.Facebook
  • com.tencent.xin

Kilde: ArsTechnica

Samme medie har talt med folk fra Project Zero, der oplyser, at koden brugt til at udnytte sårbarhederne er skrevet af dygtige og erfarne udviklere.

Som det ses i listen til højre, er sårbarhederne i høj grad blevet forsøgt brugt til at overvåge lokationsdata og data, der typisk er beskyttet af end-to-end-kryptering, som WhatsApp og iMessage.

Google kontaktede Apple 1. februar i år med beskeden, at iOS-producenten havde syv dage til at få det fikset, ellers ville Google gå til offentligheden, og Apple reagerede med en opdatering seks dage senere.

En sikkerhedsekspert fortæller til Wired, at det er banebrydende, at it-kriminelle på denne måde brænder en zero day-sårbarhed af på at ramme store mængder tilfældige enheder (via de kompromitterede hjemmesider) fremfor at benytte sårbarheden til et målrettet angreb.

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger