Investigadors del grup Google Project Zero han descobert una vulnerabilitat que és una de les més grans de la història de la plataforma iOS. El programari maliciós va explotar errors al navegador web mòbil Safari.
L'expert de Google Project Zero, Ian Beer, ho explica tot al seu bloc. Ningú va haver d'evitar els atacs aquesta vegada. N'hi havia prou amb visitar un lloc web infectat per infectar-se.
Els analistes del Threat Analysis Group (TAG) van descobrir finalment un total de cinc errors diferents que estaven presents des d'iOS 10 a iOS 12. És a dir, els atacants podien utilitzar la vulnerabilitat durant almenys dos anys des que aquests sistemes estaven al mercat.
El programari maliciós utilitzava un principi molt senzill. Després de visitar la pàgina, es va executar un codi en segon pla que es va transferir fàcilment al dispositiu. L'objectiu principal del programa era recollir fitxers i enviar dades d'ubicació a intervals d'un minut. I com que el programa es va copiar a la memòria del dispositiu, ni tan sols aquests iMessages estaven segurs d'ell.
TAG juntament amb Project Zero van descobrir un total de catorze vulnerabilitats en cinc defectes de seguretat crítics. D'aquests, un set complet relacionat amb Safari mòbil a iOS, altres cinc amb el nucli del propi sistema operatiu i dos fins i tot van aconseguir evitar el sandboxing. En el moment del descobriment, no s'havia corregit cap vulnerabilitat.
En van informar els experts del Projecte Zero Els errors d'Apple i els va donar set dies segons les regles fins a la publicació. La companyia va ser notificada l'1 de febrer i l'empresa va solucionar l'error en una actualització publicada el 9 de febrer a iOS 12.1.4.
La sèrie d'aquestes vulnerabilitats és perillosa, ja que els atacants podrien difondre fàcilment el codi a través dels llocs afectats. Com que tot el que cal per infectar un dispositiu és carregar un lloc web i executar scripts en segon pla, gairebé qualsevol persona estava en risc.
Tot està explicat tècnicament al blog en anglès del grup Google Project Zero. La publicació conté una gran quantitat de detalls i detalls. És increïble com un simple navegador web pot actuar com a porta d'entrada al vostre dispositiu. L'usuari no està obligat a instal·lar res.
Per tant, la seguretat dels nostres dispositius no és una bona cosa per prendre-la a la lleugera.
Petr Škuta 
David Hanak 
