Betjening inficerer vilkårligt iPhones med spyware

Forskere siger, at mistænkte nationalstatshackere inficerede Apple iPhones med spyware over to år i det, som sikkerhedseksperter fredag ​​kaldte en alarmerende sikkerhedsfejl for en virksomhed, hvis telefonkort er privatlivets fred.

Et blot besøg på et af et lille antal plettede websteder kunne inficere en iPhone med et implantat, der er i stand til at sende smartphone-ejerens tekstbeskeder, e-mail, fotos og lokalitetsdata i realtid til cyberspionerne bag operationen.

"Dette er absolut den mest alvorlige iPhone-hacking-hændelse, der nogensinde er blevet gjort offentligt opmærksom på, både på grund af den vilkårlige målretning og mængden af ​​data kompromitteret af implantatet, " sagde den tidligere amerikanske regeringshacker Jake Williams, formanden for Rendition Security.

Meddelt sent torsdag af Google-forskere, den sidste af sårbarhederne blev stille og roligt rettet af Apple i februar, men først efter at tusindvis af iPhone-brugere blev anset for at være blevet afsløret over mere end to år.

Forskerne identificerede ikke de websteder, der blev brugt til at se spywaren, eller deres placering. De sagde heller ikke, hvem der stod bag cyberspionagen, eller hvilken befolkning der var målrettet, men eksperter sagde, at operationen havde kendetegnene for en nationalstatsindsats.

Williams sagde, at spyware-implantatet ikke var skrevet til at overføre stjålne data sikkert, hvilket indikerer, at hackerne ikke var bekymrede for at blive fanget. Det tyder på, at en autoritær stat stod bag. Han spekulerede i, at det sandsynligvis blev brugt til at målrette mod politiske dissidenter.

Følsomme data, der blev tilgået af spyware, inkluderede WhatsApp, iMessage og Telegram tekstbeskeder, Gmail, fotos, kontakter og placering i realtid - i det væsentlige alle databaserne på ofrets telefon. Mens meddelelsesapplikationerne kan kryptere data under overførsel, den kan læses i hvile på iPhones.

Google-forsker Ian Beer sagde i en blog, der blev offentliggjort sent torsdag, at opdagelsen burde fjerne enhver forestilling om, at det koster en million dollars at hacke en iPhone med succes. Det er en reference til sagen om en dissident fra De Forenede Arabiske Emirater, hvis iPhone blev inficeret i 2016 med såkaldte zero-day exploits, som har været kendt for at få så høje priser.

"Nul dag" henviser til det faktum, at sådanne udnyttelser er ukendte for udviklerne af den berørte software, og derfor har de ikke haft tid til at udvikle patches til at rette det.

Opdagelsen, involverer 14 sådanne sårbarheder, blev lavet af Google-forskere ved Project Zero, som jagter sikkerhedsfejlene i software og mikroprocessorfirmware, uafhængig af deres producent, at kriminelle, statssponsorerede hackere og efterretningstjenester bruger.

"Dette burde tjene som et wake-up call til folk, " sagde Will Strafach, en mobil sikkerhedsekspert med Sudo Security. "Enhver på enhver platform kan potentielt blive inficeret med malware."

Beer sagde, at hans team vurderede, at de inficerede websteder, der blev brugt i de "vilkårlige vandhulsangreb" modtager tusindvis af besøgende om ugen. Han sagde, at holdet indsamlede fem separate kæder af udnyttelser, der dækker Apples iOS-system så langt tilbage som version 10, udgivet i 2016.

Apple reagerede ikke på anmodninger om kommentarer om, hvorfor det ikke opdagede sårbarhederne på egen hånd, og om det kan forsikre brugerne om, at et sådant generelt angreb ikke kunne ske igen. Fortrolighedssikring er central for Apple-mærket.

Hverken Google eller Beer svarede på spørgsmål om angriberne eller målene, selvom Beer gav et tip i sit blogindlæg:"At blive målrettet kan betyde blot at være født i en bestemt geografisk region eller at være en del af en bestemt etnisk gruppe."

Sikkerhedschef Matt Lourens hos Check Point Software Technologies kaldte udviklingen en alarmerende game-changer. Han sagde, at mens iPhone-ejere tidligere kompromitteret med nul dage, var mål af høj værdi, en mere udbredt seeding af spyware til en lavere pris pr. infektion har nu vist sig at være mulig.

"Dette burde absolut omforme den måde, virksomheder ser på brugen af ​​mobile enheder til virksomhedsapplikationer, og den sikkerhedsrisiko, det indebærer for individet og/eller organisationen, " sagde Lourens i en e-mail.

I sit blogindlæg, Google-forskeren Beer advarede om, at absolut digital sikkerhed ikke kan garanteres.

Smartphone-brugere skal i sidste ende "være bevidste om, at masseudnyttelse stadig eksisterer og opføre sig i overensstemmelse hermed." han skrev, "at behandle deres mobile enheder som en integreret del af deres moderne liv, men også som enheder, der, når de kompromitteres, kan uploade alle deres handlinger til en database for potentielt at blive brugt mod dem."

© 2019 The Associated Press. Alle rettigheder forbeholdes.