Apple | Bezpečnost

iPhony byly několik let děravé jako řešeto. Stačilo navštívit web a útočníci měli přístup i k šifrovaným datům

Výzkumníci Googlu odhalili soustavu chyb, které umožňovaly napadnout iPhony a získat z nich citlivá data. K nakažení přitom stačilo pouze navštívit infikovanou webovou stránku. Chyby jsou již nyní opraveny, v systému se ale nacházely přibližně dva roky a byly k tomuto účelu zneužívány. 

Chybu odhalil tým Project Zero, který se v rámci Googlu věnuje nacházení právě zero day zranitelností. Ten objevil několik webových stránek zneužívající 5 řetězců chyb, které se vyskytovaly od iOS 10 až po iOS 12. Vše bylo Applu nahlášeno 1. dubna letošního roku, přičemž bezpečnostní záplata vyšla o 7 dní později. Aktuálně tak by tyto konkrétní chyby neměly být zneužitelné.

Klepněte pro větší obrázek 
Celkem se jednalo o pět řetězců chyb od iOS 10 po iOs 12.

K útokům skrze ně ale docházelo přibližně po dva roky a zasažení uživatele bylo velmi snadné. Stačilo totiž pouze navštívit infikovanou stránku a zařízení bylo nakaženo malwarem. Podle odhadů měly toto stránky tisíce návštěvníků týdně. Malware ale neměl dlouhého trvání, pro jeho odstranění stačilo zařízení restartovat, i tak se ale mohl dostat k šifrovaným údajům v rámci zařízení. Google se podrobně o chybách rozepsal na svém blogu.

Útočníci získali hesla i šifrovaná data aplikací

Celkově se jednalo o 14 chyb v Safari a kernelu a dvou chybách, které umožnily vystoupit ze sandboxu, ve kterém aplikace běží. Všech pět řetězců umožnilo získal plnohodnotný root přístup k zařízení umožňující instalovat aplikace či získat přístup k osobním údajům.

Malware totiž dokázal získat přístup ke keychainu, který šifruje a ukládá citlivá data zařízení. Dostal se tak jak k uloženým heslům, tak i datům aplikací, jako je WhatsApp, Telegram či iMessage – tedy i do aplikací, které uživatele považují za zabezpečené end-to-end šifrováním. Ušetřeny ale nebyly ani kontakty, Gmail a další aplikace.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek 
Útočníci se dostali i k datům v rámci WhatsAppu, Telegramu či iMessage.

Útočníci také získali polohu zařízení, informace o připojené Wi-Fi síti včetně hesla. Odchytit bylo možné i token odesílaní Single-Sign-On službou pro iOS v rámci Google účtu, díky čemuž bylo možné udržet si přístup ke Google účtu i poté, co malware již nebyl v zařízení.

Největší nebezpečí tak bylo hlavně u cílených útoků. Hackeři mohli infikovat weby (případně vytvořit podvodnou verzi), u kterých měli velkou pravděpodobnost, že je navštíví konkrétní uživatelé a tím se dostat do jejich zařízení.

Nejdůležitější jsou aktualizace

Opět se tak ukazuje, že bezpečnostní problémy se nachází v každém systému, byť Apple se snaží své zákazníky přesvědčit, že je výjimkou a staví na tom i marketing. Nejdůležitější tak zůstávají pravidelné bezpečnostní aktualizace, které poskytují všechny platformy jak na počítači, tak i mobilních telefonech.

Aktuální chyby sice již byly opraveny, není ale vyloučeno, že se v systému (či kterémkoliv jiném) nenacházejí podobné. Při pořizování zařízení se tak vždy dívejte, jakou podporu výrobce běžně poskytuje, či případně garantuje ke konkrétnímu modelu.

Zdroj: The Next Web

Diskuze (46) Další článek: Mapy.cz dostaly další úroveň přiblížení, ukážou čísla popisná, lavičky či popelnice

Témata článku: Google, Apple, Bezpečnost, Aktualizace, iOS, WhatsApp, iPhone, Gmail, Malware, Sledování, Safari, Soukromí, Wi-fi síť, Google účet, Data, Chyba, Aplikace, Přístup, Zařízení, The Next Web, Keychain, Trvání, Řešeto


Určitě si přečtěte

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 1

Windows 10 May 2020 Update je venku. Odstraňuje hesla a přináší Linux

Windows 10 May 2020 Update je venku. Odstraňuje hesla a přináší Linux

** Jarní aktualizace Desítek přináší dost novinek, jsou ale spíš menší ** Zlepšují se stabilita, rychlost i komfort ovládání ** Revoluce ve Windows 10 teprve přijde

Vladislav Kluska | 93

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

** Pokračujeme ve vzpomínání na prehistorické programy ** Pročetli jsme vaše tipy v diskuzi ** A všechny ty vykopávky spustili na Windows 2000

Jakub Čížek | 72

Velká datová loupež. Proč mají disky nižší kapacitu, než uvádějí?

Velká datová loupež. Proč mají disky nižší kapacitu, než uvádějí?

** Na disk nikdy neuložíte tolik dat, jak tvrdí výrobce ** Ajťáci si vymysleli vlastní jednotky jako mebibajt ** Zmatky vznikají i kvůli různým výjimkám

Lukáš Václavík | 104

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

** Dnes už skoro všechno uděláte ve webovém prohlížeči a na mobilu ** Před dvaceti lety to ale bylo jiné ** Zavzpomínejte na legendy, které jste pravděpodobně také používali

Jakub Čížek | 122


Aktuální číslo časopisu Computer

Megatest SSD s kapacitou 1 TB

Srovnávací test robotických vysavačů

Vybíráme nejlepší telefony na trhu

Jak zlepšit zvuk televize