Viac ako týždeň po tom, čo to povedali vedci z Googlu potenciálne tisíce telefónov iPhone boli napadnuté poškodenými webovými stránkami„Apple odpovedal„ skutočnosťami “, ale jeho vyhlásenie bolo skôr zásahom do spoločnosti Google ako skutočným vysvetlením.

„Sofistikovaný útok bol zameraný úzko, nie na rozsiahle využitie telefónov iPhone„ ako je popísané “v príspevku na blogu Google Project Zero, uviedol vyhlásenie spoločnosti Apple, zverejnené dnes (sept. 6). „Útok zasiahol menej ako tucet webových stránok.“

Výrok spoločnosti Apple je však plný dier a ignoruje to, čo možno výskumníci spoločnosti Google skutočne odhalili - že toľko obdivovaná bezpečnosť systému iOS môže byť viac mýtom ako realitou.

VIAC: Hromadný iPhone Hack je obrovské prebudenie pre Apple

Správa spoločnosti Google „vytvorila falošný dojem„ hromadného vykorisťovania ““ a „vyvolala strach medzi všetkými používateľmi iPhone, že ich zariadenia boli napadnuté,“ uviedla spoločnosť Apple. „Všetky dôkazy naznačujú, že tieto útoky na webové stránky boli funkčné iba na krátke obdobie, zhruba dva mesiace, nie„ dva roky “, ako naznačuje Google.“

To nie je úplne pravda. VykorisťujeSpolu 14 bolo súčasťou piatich rôznych útočných kampaní, z ktorých každá zodpovedala rôznym verziám systému iOS a začala sa koncom roka 2016.

Jedna z posledných útočných kampaní proti iOS 12.0 a 12.1 trvala na jeseň roku 2018 necelé tri mesiace, ďalšie dve však trvali šesť mesiacov a ďalších deväť mesiacov.

Časová os útokov na napájadlo iOS od spoločnosti Google Project Zero.
Časová os útokov na napájadlo iOS od spoločnosti Google Project Zero. (Obrázkový kredit: Google Project Zero)

Išlo o klasické útoky na „vodnú dieru“ založené na predstave, že určité typy ľudí budú pravidelnými návštevníkmi určitých webových stránok.

V tomto prípade spoločnosť Apple uviedla, že malware bol umiestnený na stránky „zamerané na obsah súvisiaci s ujgurskou komunitou“ západnej Číny, čo zdanlivo potvrdzuje povesti a špekulácie ktoré vznikli hneď po zverejnení správy spoločnosťou Google.

No, to je len tvoj názor, človeče

Ale stále ide o hromadný útok, nie o cielený. Akýkoľvek iPhone, či už používaný Ujgurom alebo nie, ktorý prešiel na poškodené webové stránky, mohol byť úspešne infikovaný. Ktokoľvek, kto objavil implantát malvéru v kóde týchto webov, mohol ho skopírovať a použiť inde.

„Príslušné chyby zabezpečenia sme opravili vo februári - na vyriešenie problému sme pracovali mimoriadne rýchlo iba 10 dní potom, čo sme sa o nich dozvedeli,“ uvádza sa vo vyhlásení spoločnosti Apple. „Keď nás spoločnosť Google oslovila, už sme boli v procese opravy zneužitých chýb.“

Apple si za to zaslúži sláva vydaním opravy pre najnaliehavejšiu chybu, na iOS 12.0 a 12.1, pomerne rýchlo. Ale samozrejme, už to opravilo väčšinu starších chýb využívaných za posledné dva roky so staršími aktualizáciami systému iOS. Útočníci stále hľadali nové chyby.

To je skutočný problém. Útočníci - pre hádku predpokladajme, že sú čínskymi štátnymi inteligenciami - mali zdanlivo nekonečnú zásobu zraniteľností systému iOS. Zakaždým, keď Apple udrel krtka, vyskočilo ďalšie.

Nie všetky chyby boli pre Apple neznáme. Niektoré v tomto prípade útočníci používali aj naďalej, aj keď boli zverejnené a dokonca opravené. Žiadny z malvérov nebol dostatočne „perzistentný“ na to, aby fungoval aj po reštarte zariadenia iPhone.

Ale bolo dosť dosť neznámych zraniteľností, ktoré by bolo možné zneužiť na infikovanie iPhone tak jednoducho kliknutie na odkaz - zneužitie nulového dňa jedným kliknutím, v žargóne s informáciami - že zabezpečenie iOS zrazu vyzerá oveľa menej pevný.

Ak bolo toto zneužitie systému iOS v nulový deň také hojné a zjavne také lacné, že by ho útočníci nasadili celé mesiace na verejné webové stránky, aký bezpečný je vlastne systém iOS?

Lacnejšie o tucet

Nie je náhoda, že v utorok (sept. 3), Zerodium, popredný predajca produktov využívajúcich nultý deň, oznámil, že za špičkové využitie systému Android zaplatí až 1,5 milióna dolárov, za zodpovedajúci iPhone však iba 1 milión dolárov. (Využitia použité pri útokoch, ktoré zaznamenal Google, by mali hodnotu 500 000 dolárov.)

„Trh s nultým dňom je natoľko zaplavený využívaním iOS, že sme nedávno začali niektoré z nich odmietať,“ povedal výkonný riaditeľ Zerodium Chaouki Bekrar Bleeping Computer. „Na druhej strane sa bezpečnosť Androidu zlepšuje s každou novou verziou operačného systému vďaka bezpečnostným tímom spoločností Google a Samsung.“

Bolo ťažké nevidieť oznámenie Zerodia ako kaskadérsky kúsok. Bývalý šéf bezpečnosti Facebooku Alex Stamos vtipkoval, že Zerodium „využíva zraniteľnosť bezpečnostných médií na to, aby sa vložilo do spravodajského cyklu“.

Ale tento protikladný pohľad získal väčšiu dôveryhodnosť, keď The Grugq, pseudonymný juhoafrický sprostredkovateľ nultých dní, na Twitteri vyhlásil, že „Android je oveľa bezpečnejšia platforma ako iOS“, pokiaľ s Androidom pracujete správne.

„Ekosystém iOS je monokultúra, v ktorej je bezpečnosť spojená s [najnovším] hardvérom a najnovším softvérom,“ dodal. „Ak si s niektorým z nich? Zraniteľné pre komerčné využitie reťazcov. Viacero reťazcov. Android sa stal neuveriteľne odolnejším a vzhľadom na rozmanitosť oveľa ťažšie napadnuteľným. ““

Povedala to tretia predajkyňa dňa 0, Andrea Zapparoli Manzoni Vice News že „Android je taká rozdrobená krajina, že„ univerzálny reťazec “je takmer nemožné nájsť.“ 

Dodal, že niektorí významní jednotlivci prešli z iOS na Android, čím sa zneužitie, ktoré funguje proti mnohým zariadeniam s Androidom, stalo „okamžite hodnotnejším“.

Lasičkové slová

Aby sme boli úplne spravodliví, iOS App Store je stále oveľa bezpečnejší ako Google Play potrestaný adware.

Apple si tiež zaslúži peknú veľkú zásluhu za to, že prevezme zodpovednosť za zaistenie bezpečnosti telefónov iPhone odovzdanie peňazí koncovému používateľovi tak, ako to urobili výrobcovia telefónov s Androidom a bezdrôtoví operátori rokov. (Google túto hru hral ešte pred pár rokmi.)

Ale je skutočne desivé vidieť, že Apple, spoločnosť, ktorá vyvinula moderný smartfón, používa v dnešnom vyhlásení slová lasička bezpečnostná. Keď označuje infikované webové stránky ako „sofistikovaný útok“, znamená to, že ho nikto nemohol zastaviť.

Keď sa povie „bezpečnosť a ochranu všetkých používateľov berieme mimoriadne vážne“, znie to ako sieť supermarketov typu big-box, ktorá vysvetľuje, ako sa hackerom podarilo ukradnúť 40 miliónov čísel kreditných kariet.

Keď sa hovorí, že „bezpečnosť je nekonečná cesta a naši zákazníci si môžu byť istí, že pre nich pracujeme“, znie to ako spoločnosť, ktorá vie, že bola dobre a skutočne pripravená.

  • Prečo Apple iPhone nepotrebujú antivírusový softvér
  • Prekvapenie! Aplikácie pre iOS rovnako zlé ako Android v oblasti zabezpečenia (správa)
  • Zabudnite na vychvaľovačky spoločnosti Google: Android je stále menej bezpečný ako iOS