Izraelski hekerji so samo osvobodili iPhone na področju varnosti

Programsko opremo iPhone-a morate posodobiti takoj, ko je mogoče, saj je skupina izraelskih hekerjev samo uničila celotno varnost sistema iOS.

Lookout in Citizen Lab sta danes razkrila, da je izraelsko podjetje, imenovano NSO Group, razvilo vohunsko programsko opremo, ki v iOS-u izkorišča tri ničelne podvige.

Ta vohunska programska oprema se lahko uporablja za zbiranje sporočil, e-poštnih sporočil in drugih informacij iz najrazličnejših aplikacij. Vstopanje v napravo preprosto zahteva, da hekerji pošljejo besedilno sporočilo z zlonamerno povezavo do svojega cilja. Če je cilj (tj. vas) klikne povezavo, program na napravo skrivaj namesti vohunsko programsko opremo, imenovano »Pegasus« in jo uporabi za vohunjenje lastnika. Pegasus vstopi skozi tri fiktivne napake, ki jih Lookout in Citizen Lab imenujejo »Trident« v kodi za Safari, in dve v jedru sistema iOS. Ko cilj odpre zlonamerno povezavo, vohunska programska oprema raznese "Trident" (tri ranljivosti) in okuži telefon. V nadaljevanju je Lookout:

»Zaporedje napadov, ki se je skrčilo, je klasična shema lažnega predstavljanja: pošiljanje besedilnega sporočila, odprt spletni brskalnik, nalaganje strani, izkoriščanje ranljivosti, namestitev trajne programske opreme za zbiranje informacij. To pa se dogaja nevidno in tiho, tako da žrtve ne vedo, da so bile ogrožene."

Preiskava organizacije Labs in Lookout je povezala Pegasus s sovražnim izraelskim podjetjem NSO Group, ki nima uradne spletne strani.

Citizen Lab je 10. avgusta obvestil Lookout o šibkih točkah. Skupaj so organizacije 15. avgusta Apple opozorile na problem. Najnovejša različica iOS - 9.3.5 - je bila izdana danes, da bi zaščitila uporabnike iPhonea pred to vohunsko programsko opremo. Vsakdo, ki uporablja iPhone, mora posodobiti svojo napravo na to najnovejšo različico (ročno, to je pod zavihkom »Splošno« v meniju »Nastavitve«).

Te težave niso prvič odkrite v sistemu iOS. Raziskovalci na Univerzi Johns Hopkins so marca povedali, da je šifriranje, ki se uporablja v sporočilu iMessage, mogoče obiti za prestrezanje sporočil.

To je bilo potem, ko so se novice zbrale o tem, da je Apple poskušal ustvariti »nepremagljiv« iPhone, potem ko je FBI plačal hekerjem, da bi se prebili v iPhone 5C, ki ga je uporabil strelec San Bernardino.

Toda ta kramp je edinstven, ker uporablja toliko ničelnih podvigov in ga je omogočila skrivna skupina. Podoben kramp je bil prodan v letu 2015 za 1 milijon dolarjev - ta bi lahko stalo enako.

Lookout pravi, da verjame, da je Pegasus "v divjini že veliko časa." Torej ne prezrite svojega iPhonea, ko pravi, da je posodobitev na voljo. Namestite ga, nato pa se veselite, da ga je Citizen Lab in Lookout odkril, ko sta to storila.