Даследчыкі з групы Google Project Zero выявілі ўразлівасць, якая з'яўляецца адной з найбуйнейшых у гісторыі платформы iOS. Шкоднасная праграма выкарыстала памылкі ў мабільным вэб-браўзеры Safari.
Эксперт Google Project Zero Ян Бір тлумачыць усё ў сваім блогу. На гэты раз нікому не прыйшлося пазбягаць нападаў. Каб заразіцца, дастаткова было наведаць заражаны сайт.
Аналітыкі з Threat Analysis Group (TAG) у канчатковым выніку выявілі ў агульнай складанасці пяць розных памылак, якія прысутнічалі ад iOS 10 да iOS 12. Іншымі словамі, зламыснікі маглі выкарыстоўваць уразлівасць як мінімум два гады з моманту з'яўлення гэтых сістэм на рынку.
Шкоднасная праграма выкарыстоўвала вельмі просты прынцып. Пасля наведвання старонкі ў фонавым рэжыме працаваў код, які лёгка пераносіўся на прыладу. Асноўнай мэтай праграмы быў збор файлаў і адпраўка дадзеных аб месцазнаходжанні з інтэрвалам у адну хвіліну. А паколькі праграма сама капіявалася ў памяць прылады, ад яе не застрахаваны нават такія iMessages.
TAG разам з Project Zero выявілі ў агульнай складанасці чатырнаццаць уразлівасцяў у пяці крытычных недахопах бяспекі. З іх цэлых сем звязаны з мабільным Safari ў iOS, яшчэ пяць з ядром самой аперацыйнай сістэмы, а двум нават удалося абыйсці пясочніцу. На момант выяўлення ўразлівасць не была выпраўлена.
Серыя гэтых уразлівасцяў небяспечная тым, што зламыснікі могуць лёгка распаўсюдзіць код праз закранутыя сайты. Паколькі для заражэння прылады патрабуецца толькі загрузка вэб-сайта і запуск сцэнарыяў у фонавым рэжыме, у групе рызыкі апынуўся практычна кожны.
Тэхнічна ўсё растлумачана ў англійскім блогу групы Google Project Zero. Паведамленне змяшчае мноства дэталяў і дэталяў. Дзіўна, як просты вэб-браўзер можа служыць шлюзам да вашай прылады. Карыстальнік не абавязаны нічога ўсталёўваць.
Таму да бяспекі нашых прылад не варта ставіцца легкадумна.
Пётр Шкута 
Давід Ханак 
