Снощи разкриха това от Google злонамерени уебсайтове успешно поставят шпионски софтуер на потенциално хиляди iPhone не е просто еднодневна новина. Това напълно променя играта по отношение на сигурността на iOS.

През последните 12 години iOS е златният стандарт в сигурността на операционната система, стандарт, към който разработчиците на Android, macOS и Windows могат само да се стремят. Бихте могли да използвате пръстите на едната ръка, за да преброите случаите на зловреден софтуер на iOS, открит в дивата природа, който е работил на iPhone, който не е прекъснал джейл, - някога.

Бихте могли да разчитате на iOS, за да ви предпази, освен ако не сте високопоставен дисидент в репресивна, но доста богата държава. Може да останете безгрижни, че Apple не разрешава и не е трябвало да има антивирусен софтуер.

Днес броят на известните работещи диви експлоати на iOS е почти удвоен. Изведнъж iOS не изглежда толкова сигурен. Ако една сравнително небрежна група хакери на национални държави може безразборно да компрометира iPhone за повече от двама години, включително телефони с най-новите версии на iOS, колко други хакерски кампании за iOS все още има там?

„За тази една кампания, която видяхме, почти сигурно има и други, които тепърва предстои да се видят“, публикацията в блога на Google Project Zero разкрива кампанията за зловреден софтуер.

„Това е доста ужасяващо“, пише изследовател на сигурността на Malwarebytes Томас Рийд в Twitter. „Инфекциите на iPhone са по-страшни, защото няма абсолютно никакъв начин да се установи дали телефонът ви е заразен без експертна помощ... и дори тогава, може би не! "

Откровено: Колко безопасен е вашият iPhone сега? Изглежда много по-малко безопасно, отколкото вчера.

ПОВЕЧЕ ▼: Най-добрият антивирусен софтуер за Mac

И какво стана?

За да ви навакса, публикува изследователят на Google Project Zero Иън Биър поредица от дълги публикации в блога снощи около 20 часа. Източно време или полунощ GMT, описвайки как групата за анализ на заплахите на Google е била по-рано тази година „откри малка колекция от хакнати уебсайтове“, които се използваха при „безразборни атаки с поливни дупки“ срещу iPhone потребители.

Рийд, в публикация в блога на Malwarebytes по-късно в петък обобщи какво може да открадне шпионският софтуер, имплантиран в iPhone - "всички ключодържатели, снимки, SMS съобщения, имейл съобщения, контакти, бележки, и записи "и" нешифровани стенограми за чат от редица основни клиенти за криптирани съобщения от край до край, включително Messages, WhatsApp и Телеграма. "

Project Zero разгледа уебсайтовете и шпионския софтуер, разбра какво се случва и каза на Apple. Apple отстрани основните недостатъци, които направиха атаките възможни в рамките на една седмица, с iOS 12.1.4 на февруари. 7. (Други недостатъци, използвани при атаките, вече бяха поправени, но някои iPhone все още бяха уязвими за тях.)

Проблема решен? В краткосрочен план да. Но фактът, че това продължи толкова дълго време, без никой да забележи, най-малкото Apple, е това, което наистина се отнася.

Промяна на пазара?

Досега работещите подвизи на iOS се смятаха за толкова редки и скъпи, че дори добре финансирани нападатели на национални държави могат да ги използват само пестеливо и само срещу най-високите цели.

Бирата прави загадъчна препратка към „милионният дисидент"в уводната си публикация. Той се позовава на активист за правата на човека в Обединените арабски емирства, който през 2016 г. е бил насочен от някой, който се опитва да го накара да кликне върху капан в уебсайт, който използва неизвестен досега експлойт на iOS, за да „затвори“ iPhone на посетителя, така че шпионският софтуер лесно да бъде инсталиран.

Такива експлоати на iOS с едно щракване, които не изискват действия от страна на целта и никакви индикации, че устройството е компрометирано, се продават частно за до милион долара. Но срокът им на годност е кратък, защото ако бъдат открити, те бързо се закърпват, както се случи в случая активистът за правата на човека от ОАЕ - Apple се изправи срещу експлоатацията три седмици след като активистът откри и докладва то.

И все пак уебсайтовете, открити от изследователите на Google, са използвали 14 различни уязвимости на iOS, свързани по различни начини, за да създадат не по-малко от пет експлоита на iOS с едно щракване и повреди няколко уебсайта, които атакуваха не iPhone на един или няколко целеви лица, които бяха специално привлечени към тези сайтове, а iPhone на всеки, който посети сайтове.

Бирата изчислява, че тези сайтове „получават хиляди посетители седмично“. Използването му от сегашно време загатва, че сайтовете все още работят и работят.

Той също така отбеляза, че изпълнението на подвизите е калпаво. Нападателите не направиха никакви усилия да криптират данните, които техният шпионски софтуер изпращаше обратно към сървърите на нападателите, или да прикрият сървърите, където отиват данните. Всеки с копие на Wireshark би могъл да „подуши“ некриптираните данни, излизащи през Wi-Fi мрежа.

„Докато експлоитите са много сложни, имплантът е нещо на ниво аматьорски час“, коментира изследователят на зловреден софтуер Джейк Уилямс в публикация в блог днес. "Това силно подсказва, че експлоитите и имплантите са разработени не само от различни екипи, но и от екипи с драстично различни нива на умения."

Това може да е група нападатели, които не се интересуват дали губят милиони долари в работещ iOS експлойти - или такъв, който има основания да вярва, че работещите експлойти на iOS са много по-рядко срещани от нас мисъл.

Трябваше ли Apple да хване това вместо Google?

Разходите за разполагането на всички тези нулеви дни толкова публично може да са стрували на нападателите, посочи Биър, въпреки риска от откриване.

„Няма да влизам в дискусия дали тези подвизи струват 1 милион долара, 2 милиона долара или 20 милиона долара“, пише той. „Всички тези етикети с цени изглеждат ниски за възможността за насочване и наблюдение на личните дейности на цели популации в реално време.“

Но това оставя въпроса за това колко време е отнело подвизите да бъдат открити. Маркус Хътчинс, човекът, който прекрасно спря избухването на рансъмуера WannaCry и в крайна сметка изтърпя затвора като косвен резултат, смята, че Apple може да е изпуснал топката.

„Може би нещо ми липсва, но като че ли Apple е трябвало да намери това сами“, Хътчинс написа в Twitter. „Наградите за грешки са готини и всички, но добрата телеметрия“ - възможността да видите какво прави вашият софтуер в мрежата - е значително по-важна.

В разговор с Tom's Guide Томас Рийд от Malwarebytes контрира, че Apple може да не е успяла.

„Не съм сигурен, че Apple е могла да забележи това, най-вече защото контролът на iOS е толкова ограничен, че прави видимостта на инфекция на устройството почти несъществуваща“, каза Рийд. „Разбира се, може да има телеметрия, изпратена обратно до Apple, за която не знам, че би могло да отклони Apple... но бих си помислил, че не, предвид позицията на Apple по отношение на неприкосновеността на личния живот. "

Липсата на видимост е част от проблема, добави Рийд. За разлика от Android, iOS е почти черна кутия. Изследователите по сигурността трудно са го анализирали, а потребителите на iOS нямат представа как изглежда файловата система на техните устройства, нито дори колко RAM разполагат с техните устройства.

„Фактът, че това не беше забелязано две години, е доста показателен и мисля, че разказва интересна история“, добави той. "Apple по никакъв начин не позволява сканиране на устройства с iOS, но ако това беше възможно, вероятно това нямаше да продължи две години."

Алекс Стамос, бивш шеф по сигурността в Yahoo и Facebook, а сега професор в Станфорд, също обвини липсата на прозрачност на Apple и почти пълен контрол върху екосистемата на iOS - две неща, които досега можеха да се считат за необходими за запазване на високи стандарти за сигурност.

„Много неща трябва да се научат от този инцидент, но едно е цената за безопасност на антиконкурентните правила на iOS App Store,“ Стамос туитна. „Chrome / Brave / Firefox са длъжни да използват WebKit / JS по подразбиране [за да работят на iOS, правейки ги просто одирани версии на Safari]. Ако Apple няма да положи необходимата работа за защита на потребителите, тогава те трябва да позволят на другите да го направят. "

"Тъмно иронично е, че Apple е компанията, която демонстрира крайната точка на страховете от края на 90-те за Microsoft," Stamos добавен.

Той изброи три неща, в които Microsoft беше обвинен преди 20 години и които може би са верни за Apple днес: „търсене на наем чрез контрол на платформата "като 30% намаление на приходите от приложения на iOS от Apple," модериране на съдържанието от името на автокрациите " с китайското правителство за цензура - и "риск от софтуерна монокултура", резултатите от които можем да видим с вчера разкриване.

И така, как да поправим това?

Резултатът е, че iOS вече очевидно има проблем със сигурността. Не очаквах, че някога ще кажа това, но скалата на защитата на iOS вече беше малко отчупена - различен набор от Google Project Zero разкри много недостатъци в iMessage по-рано това лято.

Попитахме Рийд дали Apple може да помисли за разрешаване на антивирусен софтуер на трети страни на устройства с iOS, както има Android.

„Всъщност не мисля, че антивирусният софтуер, работещ на iOS, е отговорът“, отговори той. „Не само не мисля, че Apple някога би одобрила това, но и ще предостави потенциално опасни възможности в ръцете на разработчиците на iOS.

„Това, което мисля, че би било по-добре, ще бъдат някои санкционирани от Apple средства за достъп до файловата система на iOS устройство ", каза Рийд, като уточни, че дори това трябва да е възможно само при строго контролирани условия.

В дългосрочен план знанието, че iOS не е толкова сигурен, може да е нещо добро. Изглежда, че и Apple го знае - по-рано този месец заяви, че ще го направи дайте на одобрените изследователи достъп до специални iPhone това би било по-лесно да се хакне и това доведе до „грешката“ за недостатъците на iOS, които независимите изследователи откриват до максимум 1,5 милиона долара.

Снощните разкрития поставят решенията за повишаване на прозрачността на Apple в нова светлина. Може би Apple осъзнава, че сега се нуждае от хакери на своя страна.

  • Защо Apple iPhone не се нуждаят от антивирусен софтуер
  • Най-добрите приложения за криптирани съобщения
  • Изненада! Приложения за iOS също толкова лоши, колкото Android при сигурност (Доклад)