Onderzoekers van de Google Project Zero-groep hebben een kwetsbaarheid ontdekt die een van de grootste in de geschiedenis van het iOS-platform is. De kwaadaardige malware maakte misbruik van bugs in de mobiele webbrowser Safari.
Google Project Zero-expert Ian Beer legt alles uit op zijn blog. Niemand hoefde de aanvallen deze keer te vermijden. Het was voldoende om een geïnfecteerde website te bezoeken om geïnfecteerd te raken.
Analisten van de Threat Analysis Group (TAG) ontdekten uiteindelijk in totaal vijf verschillende bugs die aanwezig waren vanaf iOS 10 tot iOS 12. Met andere woorden: aanvallers konden de kwetsbaarheid minimaal twee jaar lang gebruiken sinds deze systemen op de markt waren.
De malware gebruikte een heel eenvoudig principe. Na het bezoeken van de pagina draaide er een code op de achtergrond die gemakkelijk naar het apparaat kon worden overgebracht. Het hoofddoel van het programma was het verzamelen van bestanden en het verzenden van locatiegegevens met tussenpozen van één minuut. En aangezien het programma zichzelf naar het geheugen van het apparaat kopieerde, waren zelfs dergelijke iMessages er niet veilig voor.
TAG ontdekte samen met Project Zero in totaal veertien kwetsbaarheden in vijf kritieke beveiligingsfouten. Zeven daarvan hadden betrekking op mobiele Safari in iOS, nog eens vijf hadden betrekking op de kernel van het besturingssysteem zelf, en twee slaagden er zelfs in om sandboxing te omzeilen. Op het moment van ontdekking was er nog geen kwetsbaarheid gepatcht.
Experts van Project Zero deden verslag Apple's fouten en gaf ze zeven dagen volgens de regels tot publicatie. Het bedrijf werd op 1 februari op de hoogte gebracht en het bedrijf repareerde de bug in een update die op 9 februari werd uitgebracht in iOS 12.1.4.
De reeks van deze kwetsbaarheden is gevaarlijk omdat aanvallers de code gemakkelijk via de getroffen sites kunnen verspreiden. Omdat het enige dat nodig is om een apparaat te infecteren het laden van een website en het uitvoeren van scripts op de achtergrond is, liep vrijwel iedereen gevaar.
Op de Engelstalige blog van de Google Project Zero-groep wordt alles technisch uitgelegd. Het bericht bevat een schat aan details en details. Het is verbazingwekkend hoe slechts een webbrowser kan fungeren als toegangspoort tot uw apparaat. De gebruiker wordt niet gedwongen iets te installeren.
De veiligheid van onze apparaten is daarom niet goed om lichtvaardig op te vatten.
Petr Skuta 
David Hanak 
