- Project Zero onthulde een iPhone 0-day-exploitatieoperatie die sinds september 2016 actief was.
- De geïmplanteerde binaire bestanden exfiltreerden gevoelige gegevens van de apparaten van de slachtoffers en volgden ook hun GPS-coördinaten.
- Onderzoekers zijn van mening dat er momenteel veel onopgemerkte campagnes van dit type zijn.
Project heeft nul onthulde een adembenemend geval Blijkbaar heeft de Threat Analysis Group van Google een kleine groep websites ontdekt die waterhole-aanvallen uitvoerden op al hun bezoekers. De 0-day-exploits die door deze websites werden gebruikt, hadden gevolgen voor iOS-apparaten. Dus als iemand ze bezocht via een iPhone of iPad, liep hij gevaar. Bij verdere analyse ontdekten de onderzoekers met name dat de exploitketens bijna alle versies van iOS 10 tot en met 12 bestreken, terwijl sommige op het moment van hun ontdekking nog niet waren gepatcht.
Google-onderzoekers ontdekten in totaal veertien kwetsbaarheden in vijf exploitketens die zich richtten op de iPhone-webbrowser, de iOS-kernel en zelfs sandbox-ontsnappingen. Twee van de escalatieketens voor toestemming, met de identificatiegegevens CVE-2019-7287 en CVE-2019-7286, werden op 7 februari 2019 door Apple gepatcht, zes dagen nadat het Project Zero-team hen op de hoogte had gesteld van de tekortkomingen. Zoals de onderzoekers samenvatten, was deze campagne slechts één campagne die ze gelukkig hebben kunnen ontdekken, en er zullen waarschijnlijk nog andere groepen kwaadaardige drinkplaatsen zijn.
Het doel van de aanvallers in de ontdekte campagne was om een binair bestand in de map “/tmp” te plaatsen, dat vervolgens op de achtergrond zou worden uitgevoerd met rootrechten. Het slachtoffer ziet hiervan geen visuele indicatie en er is geen procesvermelding in de lijst die aangeeft dat het implantaat actief is. De rol van het binaire bestand is om bestanden van het apparaat te stelen en de GPS-positiegegevens elke minuut naar de C2-server te uploaden. Het implantaat kan zelfs worden geïntegreerd in databases die worden gebruikt door privécommunicatie-apps zoals WhatsApp, iMessage en Telegram. Andere gegevens die worden uitgefilterd, zijn onder meer Gmail-berichten, contactlijsten en foto’s.
Bron: googleprojectzero.blogspot.comDit alles betekent dat u dit kwaadaardige binaire bestand mogelijk al een hele tijd op de achtergrond van uw iPhone-apparaat gebruikt zonder dat u het merkt. De websites die dienden als drinkplaatsen voor deze campagne werden niet onthuld door het Project Zero-team omdat hun eigenaren niet willens en wetens aan de operatie deelnamen, maar besmet waren door acteurs die hun code hadden geplant. De onderzoekers maakten echter duidelijk dat dit redelijk populaire websites waren die duizenden bezoekers per week ontvingen.
Vertrouw jij iOS blindelings of neem je extra beveiligingsmaatregelen op je iPhone? Laat het ons weten in de reacties hieronder of op onze sociale media Facebook En Twitteren.
