Apple | Bezpečnost

iPhony byly několik let děravé jako řešeto. Stačilo navštívit web a útočníci měli přístup i k šifrovaným datům

Výzkumníci Googlu odhalili soustavu chyb, které umožňovaly napadnout iPhony a získat z nich citlivá data. K nakažení přitom stačilo pouze navštívit infikovanou webovou stránku. Chyby jsou již nyní opraveny, v systému se ale nacházely přibližně dva roky a byly k tomuto účelu zneužívány. 

Chybu odhalil tým Project Zero, který se v rámci Googlu věnuje nacházení právě zero day zranitelností. Ten objevil několik webových stránek zneužívající 5 řetězců chyb, které se vyskytovaly od iOS 10 až po iOS 12. Vše bylo Applu nahlášeno 1. dubna letošního roku, přičemž bezpečnostní záplata vyšla o 7 dní později. Aktuálně tak by tyto konkrétní chyby neměly být zneužitelné.

Klepněte pro větší obrázek 
Celkem se jednalo o pět řetězců chyb od iOS 10 po iOs 12.

K útokům skrze ně ale docházelo přibližně po dva roky a zasažení uživatele bylo velmi snadné. Stačilo totiž pouze navštívit infikovanou stránku a zařízení bylo nakaženo malwarem. Podle odhadů měly toto stránky tisíce návštěvníků týdně. Malware ale neměl dlouhého trvání, pro jeho odstranění stačilo zařízení restartovat, i tak se ale mohl dostat k šifrovaným údajům v rámci zařízení. Google se podrobně o chybách rozepsal na svém blogu.

Útočníci získali hesla i šifrovaná data aplikací

Celkově se jednalo o 14 chyb v Safari a kernelu a dvou chybách, které umožnily vystoupit ze sandboxu, ve kterém aplikace běží. Všech pět řetězců umožnilo získal plnohodnotný root přístup k zařízení umožňující instalovat aplikace či získat přístup k osobním údajům.

Malware totiž dokázal získat přístup ke keychainu, který šifruje a ukládá citlivá data zařízení. Dostal se tak jak k uloženým heslům, tak i datům aplikací, jako je WhatsApp, Telegram či iMessage – tedy i do aplikací, které uživatele považují za zabezpečené end-to-end šifrováním. Ušetřeny ale nebyly ani kontakty, Gmail a další aplikace.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek 
Útočníci se dostali i k datům v rámci WhatsAppu, Telegramu či iMessage.

Útočníci také získali polohu zařízení, informace o připojené Wi-Fi síti včetně hesla. Odchytit bylo možné i token odesílaní Single-Sign-On službou pro iOS v rámci Google účtu, díky čemuž bylo možné udržet si přístup ke Google účtu i poté, co malware již nebyl v zařízení.

Největší nebezpečí tak bylo hlavně u cílených útoků. Hackeři mohli infikovat weby (případně vytvořit podvodnou verzi), u kterých měli velkou pravděpodobnost, že je navštíví konkrétní uživatelé a tím se dostat do jejich zařízení.

Nejdůležitější jsou aktualizace

Opět se tak ukazuje, že bezpečnostní problémy se nachází v každém systému, byť Apple se snaží své zákazníky přesvědčit, že je výjimkou a staví na tom i marketing. Nejdůležitější tak zůstávají pravidelné bezpečnostní aktualizace, které poskytují všechny platformy jak na počítači, tak i mobilních telefonech.

Aktuální chyby sice již byly opraveny, není ale vyloučeno, že se v systému (či kterémkoliv jiném) nenacházejí podobné. Při pořizování zařízení se tak vždy dívejte, jakou podporu výrobce běžně poskytuje, či případně garantuje ke konkrétnímu modelu.

Zdroj: The Next Web

Diskuze (46) Další článek: Mapy.cz dostaly další úroveň přiblížení, ukážou čísla popisná, lavičky či popelnice

Témata článku: Google, Apple, Bezpečnost, Gmail, WhatsApp, iPhone, Aktualizace, Malware, iOS, Sledování, Soukromí, Safari, Přístup, Data, Wi-fi síť, Aplikace, Zařízení, Řešeto, Chyba, The Next Web, Google účet


Určitě si přečtěte

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

** Google představil nový kvantový čip s 53 qubity ** Oznámil, že díky němu lidstvo poprvé dosáhlo kvantové nadvlády ** IBM toto tvrzení zlehčuje

Karel Javůrek | 15

Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

** Tipy na klávesnice, myši, routery, tiskárny, sluchátka a další věci k počítačům ** Poradíme, s jakými produkty neuděláte chybu ** Vybíráme jak příslušenství na běžnou práci, tak na hraní her

David Polesný | 20


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky