iPhone – szereg infekcji urządzeń

iPhone – szereg infekcji urządzeń

Na początku 2019 roku zespół Google Threat Analysis Group (TAG) odkrył niewielki zbiór zaatakowanych witryn sieci web, odwiedzanych przez tysiące osób tygodniowo, z których każda osoba odwiedzająca je za pomocą iPhone’a mogła zostać efektywnie zainfekowana złośliwym oprogramowaniem.

Zespół TAG nie ujawnia nazw witryn, wiadomo jednak, że ataki sięgają roku 2017 i wykorzystywały nieznane dotychczas luki w oprogramowaniu urządzeń mobilnych Apple. Do infekcji wystarczyła prosta czynność wyświetlenia strony na podatnym urządzeniu, skutkująca instalacją implantu.

Szczegółowego opisu mechanizmów ataku i jego efektów dostarczył inny zespół Google, Project 0. Zgodnie z wynikami zaprezentowanymi przez badaczy, podatności użyte w ataku można było odnaleźć już w edycji iOS 10.0.1.

Łącznie odkryto złośliwe oprogramowanie wykorzystujące czternaście podatności: siedem dotyczących przeglądarki Safari, pięć podatności dotyczyło jądra systemu iOS, dwie pozostałe umożliwiały ucieczkę z sandboxa (mechanizmu ograniczającego uprawnienia aplikacji do poziomu niezbędnego do jej działania, co zwiększa poziom bezpieczeństwa systemu operacyjnego urządzenia, czyniąc je mniej podatnym na ataki).

Ataki przeprowadzano w scenariuszach wykorzystujących kilka podatności jednocześnie. Badacze wyszczególnili pięć łańcuchów ataków uwzględnionych na poniższym schemacie:

Tabela podatnych wersji oprogramowania

Rys.1 Tabela podatnych wersji oprogramowania / urządzeń w zależności od łańcucha ataku. Źródło: https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Instalowany na urządzeniu implant nie był w stanie przetrwać restartu telefonu. Do czasu restartu potrafił jednak dokonać eksportu danych użytkownika, związanych z aplikacjami: WhatsApp, Telegram, iMessage, Hangouts, Gmail, Contacts, Photos. Implant posiadał także zdolność śledzenia pozycji urządzenia z pomocą modułu GPS iPhone w trybie online.

Wydawane komendy

Rys. 2 Komendy wydawane przez implant w celu eksportu kontaktów z zaatakowanego urządzenia. Źródło: https://googleprojectzero.blogspot.com/2019/08/implant-teardown.html

Implant posiadał również możliwość pozyskiwania bazy uwierzytelnień przechowywanej w telefonie, danych technicznych urządzenia (w tym numeru seryjnego telefonu) oraz tokenów dostawców usług internetowych, co umożliwiało atakującym dostęp do usług wykorzystywanych przez zaatakowanego użytkownika, bez względu na obecność implantu w telefonie.

Nie ujawniono kto mógł stać za atakami. Google przekazało informacje o wykrytych podatnościach firmie Apple, która 7 lutego 2019 roku opublikowała aktualizacje systemu operacyjnego iOS 12.1.4, usuwającą wskazane podatności.

CERT Energa przekazując Państwu informacje opublikowane przez firmę Google, dzieli się posiadaną wiedzą na temat zagrożeń płynących z użytkowania rozwiązań mobilnych, w celu zwiększenia świadomości na temat tych zagrożeń oraz rekomenduje podjęcie dodatkowych kroków w celu lepszego zabezpieczenia i zarządzania ryzykiem związanym z urządzeniami mobilnymi:

  1. Zainstaluj na urządzeniu mobilnym aplikację antywirusową oraz zaporę sieciową,
  2. Aktualizuj systematycznie system operacyjny urządzenia mobilnego,
  3. Ogranicz prawa dostępu do aplikacji i danych,
  4. Stosuj oryginalne wersje systemów operacyjnych (rezygnacja z jailbreak),
  5. Ustaw kody dostępu do telefonu w postaci cyfrowej lub interfejsu graficznego,
  6. Nie pozostawiaj urządzenia mobilnego bez nadzoru,
  7. Tam gdzie to możliwe korzystaj z dwuskładnikowego uwierzytelnienia,
  8. Regularnie kontroluj historię logowania w portalach usług chmurowych, zwracając uwagę na daty i godziny połączeń oraz lokalizacje, z których zostały wykonane.

 

 

 

Załączniki

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w ustawieniach przeglądarki.

Rozumiem