Zdroj: Google Project Zero
Neskoro večer vo štvrtok 29.8.2019 uverejnil blog projektu Zero podrobné informácie o dlhoročnom hackovaní mobilov Apple iPhone. Cieľom Google Project Zero je hľadať a odhaľovať zero-day zraniteľnosti. Ich bezpečnostní výskumníci sa zameriavajú hlavne na populárne a používané systémy. Cieľom je ochrániť čo najviac ľudí pred útokmi.
Hacknuté web stránky
Odhalenie útokov sa začalo keď Google TAG tím (Threat Analysis Group) objavil malú skupinu hacknutých web stránok. Tieto stránky slúžili výlučne na útoky na mobily Apple iPhone a nerozlišovali medzi nimi. Každý používateľ Apple iPhone bol po návšteve stránky napadnutý využívajúc zero-day zraniteľnosť.
Odhadom išlo o tisíce ľudí mesačne. TAG tím odhalil 5 unikátnych exploit postupov, ktoré pokrývali všetky verzie iOS od verzie iOS 10 až po verziu iOS 12. Útoky boli sústavné a útočníci prispôsobovali počas 2 rokov svoje ataky na základe zmien v iOS.
Zraniteľnosti
Bezpečnostní výskumníci odhalili dokopy 14 zraniteľností, ktoré oznámili ešte vo februári 2019 firme Apple. Tieto chyby boli opravené vo februári vo verzii 12.1.4 (nemýliť si s aktuálnou aktualizáciou 12.4.1). Ak ste malvérový výskumník odporúčam podrobný popis exploit postupov na stránke Google Project Zero blogu.
Útočníci sa zamerali na prehliadač Safari ako vstupný bod do mobilu. Zaujímavá informácia je, že žiaden exploit nevedel prekonať ochranu v procesore A12. Procesor A12 obsahuje PAC-based JIT hardening, ktorý útočníci nedokázali prekonať. Tento procesor majú iPhone XS, XS Max, XR a tohtoročné iPad Air a Mini.
Špehovanie
Na napadnutý iPhone bol nainštalovaný softvér, ktorý sa hlásil každých 60 sekúnd. Na server útočníkov posielal súbory z mobilu a polohu. Softvér mal prístup k databázam a informáciám z Whatsapp, Telegram, iMessage, Hangouts, Gmail, Contacts a Photos. Na server sa posielal aj keychain súbor, ktorý napríklad okrem iného obsahuje heslá do WiFi. Komunikácia so serverom útočníkov bola nezašifrovaná. Softvér nebol perzistentný, po reštarte mobilu bol vymazaný.
Kto to bol?
Jediná nezodpovedaná otázka je, kto je za týmto útokom? Výskumníci neuviedli hacknuté web stránky, ktoré slúžili na útok ani iné identifikačné informácie. Zaujímavá je veta z blogu:“To be targeted might mean simply being born in a certain geographic region or being part of a certain ethnic group„. Zaujímavá bola aj poznámka, že na útok prišli len kvôli neschopnosti útočníkov šifrovať svoju komunikáciu. Koľko iných podobných akcií v tejto chvíli prebieha na internete?
Obrázok: „cake spy shop“ by Dan Ox, used under CC BY-SA 2.0
