Zlobne spletne strani so brskale po iPhonih

Googlovi varnostni strokovnjaki, združeni pod imenom Project Zero team, so objavili poročilo o večjem številu spletnih strani, ki so izkoriščale celo vrsto ranljivosti v iOSu, in sicer vse od različice 10, do trenutne dvanajstice. Za okužbo je zadostoval zgolj obisk take strani, strežnik je preprosto na vsako ranljivo napravo namestil nadzorno programsko opremo, vse skupaj pa se je odvijalo zadnji dve leti. Napad ni bil usmerjen, pač pa so neznanci nediskriminatorno zbirali podatke od kogarkoli, šlo pa je za uporabnikove stike, sporočila, fotografije, lokacijo v realnem času, dostopali so lahko tudi do na napravi shranjenih gesel.

Strokovnjaki so odkrili pet različnih načinov vdorov, ki so izkoriščali 12 ranljivosti, od tega jih je sedem gostil Safari, Applov privzeti brskalnik. Vseh pet načinov zlorab je na napravi omogočalo korenski dostop (root acess), s tem pa so napadalci pridobili privilegije, ki precej presegajo tiste od običajnega uporabnika, med drugim tudi pravico do nameščanja zlobne kode, brez uporabnikovega vedenja in posredovanja.

Googlovci so predstavnike Appla o varnostnih vrzelih obvestili že februarja letos in jim menda dali na voljo pičel teden dni za izdelavo in distribucijo popravka. Kar je zlobno kratek rok, običajno se razvijalcem pred objavo omogoči 90 dni molka. Kljub temu so v Cupertinu že šest dni pozneje izdali iOS 12.1.4, ki je ranljivosti pokrpal.