过去一周的主要新闻是对基于iOS的设备的真实攻击的大规模研究,该研究由Google Project Zero小组的专家Jan Ber发表(
新闻 ,Jan的
博客文章 ,其中包含其他七个出版物的链接)。 这是一个罕见的研究示例,它不仅详细描述了入侵iPhone的过程,而且还详细描述了已安装的植入物的结果。
该研究没有揭示攻击者的目标,并且存在一些奇怪之处。 无需其他用户操作即可利用受感染的iOS设备,足以访问被黑的网站。 同时,所有站点访问者均被感染,从苹果设备可利用漏洞的价格来看,这是近视的。 尽管事实上“每周都有成千上万的用户”访问受感染的站点,但这一特定活动至少持续了两年,随着新版本iOS的出现,攻击方法也发生了变化。
攻击始于2016年,从5s到最新版本的所有iPhone机型都受到攻击,这些机型运行iOS 10-12版本。 一项对受感染网站的研究表明,有14种漏洞以5种不同组合用于入侵iOS。 每种方法都可以完全控制受害者的电话。 随着iOS更新的发布,攻击方法发生了变化,最有可能是针对新版本iOS中即将关闭的漏洞的响应,但也可能是由于其他一些原因。 对于当前的当前iOS 12,使用了两种攻击方案。 在发现之时,其中只有一个使用了最新版本的iOS未涵盖的漏洞:针对它们的紧急补丁已于今年
2月发布。
Google Project零博客详细介绍了所有五种攻击方法,并分析了各种iOS组件中使用的漏洞。 研究人员Samuel Gross分别描述
了浏览器中的
漏洞 ,更确切地说是WebKit引擎中的
漏洞 。 有一个有趣的发现:研究人员建议(但不能肯定地说),攻击者会仔细观察WebKit引擎本身的补丁并针对iOS使用漏洞利用,直到为苹果智能手机发布下一个更新为止。
在某些情况下,研究人员连同漏洞补丁一起发布了概念证明。 上图显示了公共PoC攻击组织者在进行最小改动后所使用的内容。 WebKit于2017年3月11日
关闭了此
漏洞 ,带有此补丁的iOS 10.3.2版本仅在5月15日发布。 总体而言,本文描述了WebKit中的七个漏洞,并且在每种情况下,攻击者在发布补丁程序之前都有大约两个月的障碍。 浏览器中的漏洞本身无法提供对移动设备的完全控制,但是由于有了这些漏洞,才有可能利用OS的其他组件中的漏洞并获得完全控制。
最后,另
一篇文章介绍了攻击者在入侵iOS之后安装的恶意软件的功能。 通常,研究人员仅限于简单的可能性列表,此处所有内容均通过屏幕截图清晰显示。 即:每分钟都会从Telegram,Whatsapp,Hangouts和iMessage中窃取信件,在GMail应用程序中拦截未加密的信件,联系人,照片被盗以及受害者地理位置的转移。 植入程序还将WiFi密码和令牌上传到攻击者的服务器上,以访问服务(例如Google帐户)。 恶意程序无法在重新启动后幸存,但是,首先,智能手机不会如此频繁地重新启动,其次,即使是恶意程序的短期操作,攻击者也可以向攻击者提供大量信息,以进一步破坏邮件帐户和其他东西。
看起来很吓人。 用户无法以任何方式确定是否存在恶意软件,因为他本人无法访问例如正在运行的进程列表。 每隔一分钟调用命令服务器,就可以通过特征来识别受感染的设备。 此外,所有窃取的数据均通过http进行不加密的传输,并且理论上不仅可用于攻击的组织者,而且通常可用于任何人。 攻击者如何在长时间未被发现的情况下设法工作,而又没有真正隐藏和利用零日漏洞? Google Project Zero的发布无法回答此问题。 文章仅说,这样的运动不可能是唯一的运动。
在这项研究中,一个工作漏洞在其适度的公共开发期间的生命周期受到关注。 从研究人员显示的时间表来看,这需要三到九个月的时间,尽管并不是所有显示的方法都能在将手机更新到最新版本的手机上使用。
此前,卡巴斯基实验室专家曾谈论过对Android用户的大规模攻击(
新闻 ,
研究 )。 流行的CamScanner应用程序可以识别照片文档的文本,但在某些时候遭到了破坏:在Google Play的程序代码中添加了一个广告模块,该模块访问了攻击者的服务器并从那里下载了恶意代码。 在这种情况下,Necro.n Trojan可以通过任何可用的手段为受害者赚钱,从在其他应用程序之上显示广告到将SMS发送到付费电话。 目前,该应用程序已从Google商店中删除,并且根据用户的评论判断,该恶意软件版本传播了大约一个月-如此之多的针对智能手机的大规模攻击却未引起注意。 根据商店本身,该应用程序已下载超过1亿次。
免责声明:本摘要中表达的观点可能与卡巴斯基实验室的官方立场不符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。