I ricercatori della sicurezza di Google affermano di aver trovato un numero di siti Web dannosi che, una volta visitati, potevano tranquillamente hackerare l’iPhone di una vittima sfruttando una serie di difetti software precedentemente non divulgati.
Il team Project Zero di Google ha dichiarato in un post sul blog che i siti Web sono stati visitati migliaia di volte alla settimana da vittime ignare, in quello che hanno descritto come un attacco “indiscriminato“.
Ian Beer, ricercatore di sicurezza presso Project Zero:
“La semplice visita al sito compromesso è stata sufficiente affinché il server exploit attaccasse il tuo dispositivo e, se ha avuto successo, installa un impianto di monitoraggio.”
Ha aggiunto che i siti Web hanno hackerato iPhone per un “periodo di almeno due anni“.
I ricercatori hanno scoperto cinque distinte catene di exploit che coinvolgono 12 diversi difetti di sicurezza, tra cui sette che coinvolgono Safari, il browser Web predefinito su iPhone. Le cinque catene di attacco separate hanno consentito a un utente malintenzionato di ottenere l’accesso “root” al dispositivo, il più alto livello di accesso e privilegio su un iPhone. In tal modo, un utente malintenzionato potrebbe accedere all’intera gamma di funzionalità del dispositivo normalmente vietata all’utente. Ciò significa che un utente malintenzionato potrebbe installare applicazioni dannose per spiare un proprietario di iPhone a sua insaputa.
Google ha dichiarato in base alla loro analisi, che le vulnerabilità sono state utilizzate per rubare le foto e i messaggi di un utente e per rintracciarne la posizione in tempo quasi reale. L ‘”impianto” potrebbe anche accedere alla banca di password salvate sul dispositivo dell’utente.
Le vulnerabilità riguardano iOS 10 fino all’attuale versione, iOS 12.
Google ha rivelato privatamente le vulnerabilità a febbraio, dando a Apple solo una settimana per correggere i difetti e distribuire gli aggiornamenti ai propri utenti. Questa è una frazione dei 90 giorni in genere concessi agli sviluppatori di software, fornendo un’indicazione della gravità delle vulnerabilità.
Apple ha pubblicato una correzione sei giorni dopo con iOS 12.1.4 per iPhone 5s e iPad Air e versioni successive.
Beer ha affermato che è possibile che siano in corso altre campagne di hacking.
Apple in generale ha una buona reputazione in materia di sicurezza e privacy. Di recente la società ha aumentato il pagamento massimo di bug a $ 1 milione per i ricercatori di sicurezza che trovano difetti che possono silenziosamente colpire un iPhone e ottenere privilegi a livello di root senza alcuna interazione da parte dell’utente. In base alle nuove regole di Apple – che entreranno in vigore entro la fine dell’anno – Google avrebbe avuto diritto a diversi milioni di dollari di ricompense.
Leggi o Aggiungi Commenti