Google-onderzoekers: ‘Kwaadaardige websites vielen jarenlang iPhones aan’
Enkele kwaadaardige websites hebben jarenlang iPhones van bezoekers aangevallen. Ze gebruikten kwetsbaarheden in iOS om malware op de toestellen te installeren. Dat zeggen onderzoekers van Google.
Securityonderzoekers van Google hebben aanwijzingen gevonden dat enkele kwaadaardige websites over een periode van meer dan twee jaar iPhones gehackt hebben. De websites gebruikten tot dan toe niet-openbare kwetsbaarheden in de iPhone om malware te injecteren en contacten, beelden en locatiedata van de toestellen te verzamelen.
Volgens de blog die de Google-onderzoekers van Project Zero schreven, werden de sites in kwestie duizenden keren per week bezocht. “Voor de exploit servers was het genoeg dat je de gehackte site bezocht om een aanval te starten. Als die aanval succesvol was, installeerde hij een monitoringimplantaat,” aldus Ian Beer, een van de Project Zero experten in de blog.
De websites zouden minstens twee jaar lang elke passerende iPhone hebben aangevallen. De aanvallers gebruikten daarvoor twaalf verschillende beveiligingsfouten om te proberen toestellen binnen te geraken. De meeste daarvan waren foutjes in Safari, Apple’s standaard browser. Met de aanval konden ze toegang krijgen tot de ‘root’ map van het toestel om op de achtergrond het doen en laten van de iPhone te beheren, zonder dat de gebruiker daar erg in heeft.
Volgens de onderzoekers kon het implantaat data beginnen verzamelen, waaronder foto’s, GPS-gegevens en wachtwoorden en werden die gegeven om de zestig seconden naar een externe server doorgestuurd. Data konden ook worden geschraapt van de verschillende apps die op het toestel werden gebruikt, zoals Instagram, WhatsApp, Telegram of Gmail. De exploits zouden in zowat elke versie, van iOS 10 tot de huidige iOS 12, zitten.
Het Google-team heeft Apple in februari van dit jaar op de hoogte gesteld. Zes dagen later werd een patch uitgebracht. Apple heeft geen commentaar gegeven op het nieuws.
Fout opgemerkt of meer nieuws? Meld het hier