Sicherheitsforscher von Google sagten, dass sie bösartige Websites gefunden hätten, die iPhone Exploits fast drei Jahre lang bedienten. Die Angriffe richteten sich nicht gegen bestimmte iOS-Benutzer, da die meisten iOS-Exploits in der Regel verwendet werden, sondern gegen alle Benutzer, die über ein iPhone auf diese Seiten zugreifen.
„Es gab keine Zieldiskriminierung; der einfache Besuch der gehackten Website reichte aus, damit der Exploit-Server Ihr Gerät angreifen konnte, und wenn er erfolgreich war, installieren Sie ein Überwachungsimplantat“, sagte Ian Beer, Mitglied von Google Project Zero, dem elitären Sicherheitsteam von Google.
Die Exploits erforderten auch keine Benutzerinteraktion, um ausgelöst zu werden. Google sagte, dass die erste Website, die eines der Exploits hostet, am 13. September 2016 live ging. Die Websites schienen gehackt worden zu sein, und die Exploits wurden von einem Dritten und nicht vom Eigentümer der Website erstellt.
„Wir schätzen, dass diese Seiten Tausende von Besuchern pro Woche empfangen“, sagte Beer. Diese ruchlose und geheimnisvolle Hacking-Aktion wurde Anfang des Jahres entdeckt, als die Threat Analysis Group (TAG) von Google auf die gehackten Websites stieß.
„Wir haben diese Probleme Apple mit einer 7-tägigen Frist am 1. Februar 2019 gemeldet, was zur Out-of-Band-Veröffentlichung von iOS 12.1.4 am 7. Februar 2019 führte“, sagte Beer.
Insgesamt sagte Beer, dass Google Exploits gefunden habe, die auf 14 iOS-Schwachstellen abzielen, die in fünf Exploit-Ketten zusammengefasst sind. Sieben Schwachstellen betrafen den Webbrowser des iPhones, fünf den Kernel und zwei waren Sandbox Escapes. Die Exploits zielten auf die iOS-Versionen 10.x, 11.x und 12.x.
Beer und seine Kollegen vom Project Zero haben Abstürze der fünf Exploit-Ketten und die ausgebeuteten Schwachstellen[1, 2, 3, 4, 5] veröffentlicht, ebenso wie Blog-Posts, in denen der JSC-Exploit beschrieben wird, der es Hackern ermöglichte, sich einen ersten Platz in den Browsern der Opfer zu verschaffen, und eine Analyse des Implantats, das auf infizierten Geräten zurückgelassen wurde.
Laut Beer könnte dieses Implantat (die Malware, die auf infizierten iPhones eingesetzt wird) „private Daten wie iMessages, Fotos und GPS-Position in Echtzeit stehlen“. Die gute Nachricht war, dass das Implantat nicht in der Lage war, die Boot-Persistenz auf dem Gerät zu etablieren, und nur ein Neustart des Telefons würde das Telefon entfernen, bis der Benutzer eine der gehackten Websites erneut besuchte.
Darüber hinaus stellte Beer auch fest, dass, während die meisten Exploits ältere Schwachstellen betrafen, die Apple bereits gepatcht hatte, mindestens eine Exploit-Kette eine Schwachstelle benutzte, die immer noch ein Null-Tag war (ungepatcht). Dies war CVE-2019-7287 & CVE-2019-7286, gepatcht in iOS 12.1.4, veröffentlicht im Februar 2019. Dieser Zero-Day war Teil der Exploit-Kette #4 in der obigen Grafik.
Der Google-Forscher warnte auch davor, dass es noch andere ähnliche Hackerkampagnen und Exploit-Ketten geben könnte, und beschrieb die von Google gefundenen Seiten als „einen Fehlerfall für den Angreifer“. „Es gibt mit ziemlicher Sicherheit noch andere, die noch zu sehen sind“, sagte er. Google hat keine Informationen über die Websites veröffentlicht, die die Exploits bedienen.