Minulý týden na svém blogu zveřejnil Google zprávu o tom, že se uživatelé operačního systému iOS kvůli infiltraci z webové stránky dostávají do potíží. Tato zranitelnost však podle Applu byla opravena již v únoru. Útok na zařízení nebyl zaměřen na všechny produkty, ale jen na hrstku z nich. Problém se vyskytl pouze na desítce webových stránek. Apple bere tyto útoky na uživatele samozřejmě vážně.
Příspěvek Googlu, který byl vydaný šest měsíců po vydání záplat pro systém iOS, vytváří falešný dojem hromadného problému, který sleduje soukromé aktivity všech v reálném čase. Vyvolává mezi uživateli iPhonů strach, že jejich zařízení bylo ohroženo. Nikdy tomu tak nebylo.
Apple vydal zprávu o bezpečnosti operačního systému iOS
Všechny důkazy a informace naznačují, že tyto útoky z webové stránky byly funkční pouze krátkou dobu, zhruba dva měsíce, nikoli dva roky, jak naznačuje Google na svém blogu. Dané chyby byly Applem odstraněny již v únoru – na vyřešení problému inženýři v Cupertinu pracovali extrémně rychle. Záplata na možnou infiltraci byla vydána 10 dní poté, co se Apple o problému dozvěděl. Když se Google začal problémem zabývat, Apple už byl v procesu opravy zneužívaných chyb na iPhonech.
Vyjádření společnosti Apple:
Bezpečnost je nekonečná cesta a zákazníci si mohou být jisti, že pro ně pracujeme. Zabezpečení systému iOS je nepřekonatelné, protože neseme odpovědnost za zabezpečení našeho hardwaru a softwaru. Naše týmy pro zabezpečení produktů po celém světě neustále opakují zavedení nových ochranných opatření a chyb zabezpečení, jakmile jsou nalezeny. Nikdy nepřestaneme dělat neúnavnou práci, abychom udrželi naše uživatele v bezpečí.
Vyjádření společnosti Google:
Začátkem tohoto roku Google Threat Analysis Group (TAG) objevila malou sbírku napadených webových stránek. Hackované weby byly používány při nerozlišujících útocích k infiltraci návštěvníků, kteří používali iPhone. Nedocházelo k cílové diskriminaci; pouhá návštěva napadeného webu stačila k tomu, aby exploitující server zaútočil na zařízení, a pokud byl úspěšný, nainstalujte monitorovací implantát. Odhadujeme, že tyto stránky navštívilo tisíce návštěvníků týdně.
Společnost TAG dokázala shromáždit pět samostatných, úplných a jedinečných řetězců využívajících iPhone, které pokrývají téměř každou verzi od iOS 10 až po nejnovější verzi iOS 12. To naznačovalo, že skupina vyvíjí trvalé úsilí o hackování uživatelů iPhone v určitých komunitách přes období nejméně dvou let.
Ve spolupráci s TAG jsme objevili exploity celkem čtrnácti zranitelností napříč pěti řetězci exploitů: sedm pro webový prohlížeč na iPhonu, pět pro únik jádra a dva oddělené úniky z karantény. Počáteční analýza ukázala, že alespoň jeden z privilegovaných řetězců eskalace byl zaveden ještě ten den a v době objevení nebyl odeslán (CVE-2019-7287 & CVE-2019-7286). Tyto problémy jsme nahlásili společnosti Apple se 7denním termínem 1. února 2019. Zápis o bezpečnostní opravě se objevil v systému iOS 12.1.4.
