Googleovi stručnjaci pronašli velik sigurnosni propust iOS-a
Stručnjaci Googleovog tima Project Zero objavili su detalje o propustu koji je dvije godine bio nezakrpan, a omogućavao je pristup podacima na iPhoneima
Googleov tim stručnjaka Project Zero radi na uklanjanju sigurnosnih prijetnji poznatih kao "zero day" propusti, tj. onih koje su primijećene da se koriste, a da ih proizvođači ranjivog hardvera ili softvera nisu još svjesni. Ovaj sigurnosni tim ranije ove godine otkrio je "u divljini" propust u Appleovom mobilnom operacijskom sustavu iOS, koji je bio aktivan još od inačice 10.0.1 (lansirane u rujnu 2016. godine) pa sve do 7. veljače ove godine, kada je potiho zakrpan u verziji iOS-a 12.1.4.
Zanimljivo, tada je Apple prijavio tek kako su nadogradnjom zakrpali propust u FaceTimeu koji je omogućavao prisluškivanje korisnika, dok ovaj – daleko veći i ozbiljniji – nisu niti spomenuli.
Stručnjaci su otkrili kako je ovaj propust mogao biti iskorišten u slučajevima kada korisinik putem iPhonea i preglednika Safari posjeti neku od otkrivenih malicioznih web stranica. Tada se događalo da Safari na iPhone nastani zloćudni program koji bi omogućio napadačima prikupljanje velikog broja različitih podataka sa zaraženog uređaja.
Malware nestaje resetiranjem
Hakeri koji su koristili ovaj vid napada imali su pristup gotovo svemu što se na iPhoneu nalazi – lokaciji, kontaktima, slikama, pa čak i kriptiranim porukama iz aplikacija poput WhatsAppa i Telegrama. Da bi stvar bila još gora, malware je imao mogućnost osvježavanja svakih 60 sekundi, pa su napadači mogli gotovo u stvarnom vremenu nadzirati što se na ciljanom iPhoneu događa.
Napad ove vrste nije bilo moguće samo tako otkriti na uređaju, ali znak da bi se nešto čudno moglo događati mogao je biti velik skok u potrošnji baterije. Kada bi iPhone bio isključen, svaki trag malwarea bi nestao iz njegove radne memorije, dok u trajnu memoriju nikada nije niti stigao.
Ugrožene tisuće korisnika
Stručnjaci kažu kako je ovaj napad bio široko korišten kroz razdoblje od 30 mjeseci protiv više tisuća korisnika tjedno. Pretpostavlja se kako su na ovaj način prikupljane lozinke, kontakti i drugi zaštićeni podaci, sve dok početkom ove godine Google nije otkrio 14 velikih propusta u iOS-u i o njima 1. veljače obavijestio Apple. Njima je, pak, trebalo manje od tjedan dana da u javnost puste zakrpan iOS.
Operacijski sustav na mobitelu, ponovit ćemo još jednom, uvijek je dobro držati ažuriranim na najnoviju dostupnu verziju.
