谷歌发现利用iPhone的网站,大规模推动间谍植入

身份不明的攻击者入侵网站已有近三年时间,使他们拥有可以在没有任何用户交互的情况下破解访问iPhone的漏洞,并提供能够收集用户发现的许多敏感信息的隐形植入程序’iOS驱动的设备。

苹果手机大规模黑客入侵

不加选择的妥协

“今年早些时候Google ’威胁分析小组(TAG)发现了一小部分被黑网站。这些被入侵的网站被用来对游客进行不加选择的水坑攻击,使用iPhone 0天,” 共享 伊恩·比尔(Ian Beer),Google研究人员’s Project Zero.

“没有目标歧视;只需访问被黑客入侵的站点就足以使漏洞利用服务器攻击您的设备,如果成功,则安装监视植入物。我们估计这些网站每周接待数千名访客。”

随后的研究表明攻击者’使用五个独特的iPhone漏洞利用链,使用14个漏洞,涵盖从iOS 10到最新版本的iOS 12的几乎每个版本,这意味着攻击者“在至少两年的时间内持续努力,以在某些社区中入侵iPhone的用户。”

苹果手机大规模黑客入侵

在这14个漏洞中,有7个受影响的Safari(即WebKit,其浏览器引擎),5个内核和2个允许的沙箱转义。

“初步分析表明,至少一个特权升级链仍然是0天,而且在发现时尚未修补(CVE-2019-7287&CVE-2019-7286)。我们已于2019年2月1日向苹果报告了这些问题,截止日期为7天,这导致在2019年2月7日带外发布iOS 12.1.4,” Beer 注意到的.

“对于许多漏洞利用程序,尚不清楚它们最初是在漏洞修复发布后的0天还是1天被利用的。攻击者最初如何获得有关漏洞的知识也是未知的,”Google Project零研究员SamuelGroß 解释.

“通常,他们可以自己发现漏洞,也可以使用在修复程序发布后发布的公共漏洞利用程序。此外,至少对于WebKit,通常可以在将修补程序交付给用户之前从公共源代码存储库中提取漏洞的详细信息。”

有关间谍植入物的更多详细信息

根据研究人员的说法,植入物主要集中在窃取文件和上载实时位置数据,并将信标发送到C并向C请求命令&C服务器每60秒一次。

它可以访问:

  • 用户数’照片,联系人,位置数据(GPS)
  • 装置’的钥匙串,其中包含凭据,证书和访问令牌(例如Google OAuth令牌)
  • 容器目录,包含通过流行的端到端加密应用程序和邮件应用程序(包括电报,Gmail,QQMail,Whatsapp,微信和Apple)发送和接收的所有未加密消息’s own iMessage app).

苹果手机大规模黑客入侵

但是,有趣的是,植入二进制文件不会保留在设备上。

“如果重新启动电话,则当用户再次访问受感染的站点时,直到重新利用该设备,植入物才会运行,” Beer 注意到的.

“考虑到被盗信息的广度,即使攻击者失去了对设备的访问权限,他们仍然可以通过使用从钥匙串中窃取的身份验证令牌来维持对各种帐户和服务的持久访问。”

WHO’s behind this?

研究人员没有’公开识别被黑客入侵的网站(“watering holes”),这些信息可以使我们对目标和攻击者做出有根据的猜测。

但是,显而易见的是,攻击者拥有大量可支配的资源,并且根据间谍植入程序的功能来判断,他们在经济上没有动机。实际上,所有这些都表明了一个民族国家长期以来的努力。

渲染信息安全创始人(和前NSA黑客)Jake Williams 告诉 连线认为这些战役具有国内监视行动的许多特征。尽管如此,对于这种工作而言,植入程序无需HTTPS加密即可将数据上载到服务器,其地址以二进制形式进行了硬编码,这是不寻常的。

“相比之下,利用多个漏洞利用链和沙盒逃逸,可以肯定听起来像是一群人有大量资金购买漏洞利用和很少的操作经验,” he 注意到的.

不泄漏水坑部位’ and C&C server’的IP地址以及Google中的某些语言’的博客文章激起了网上的猜测。

故事中的面包屑说中国的少数民族。现在,我们想知道过去几年中可能是哪些?但是C&C服务器未公开。

—卢卡斯·奥莱尼克(@lukOlejnik) 2019年8月30日

当前的有根据的猜测:威胁演员是中东的压制政府,专门通过未知的人流少的地点(间接区别对待)针对一个群体(持不同政见者/反对党/游击队)。来自才华横溢的开发工具包的资金被打击,并被本地C2拍打

—亚伦·格拉塔菲奥里(@dyn___) 2019年8月30日

除此之外,此发现带来的最重要的认识是,iPhone的安全性不如人们普遍认为的那样。

“现实仍然是,如果您采取以下措施,安全保护措施将永远不会消除遭受攻击的风险:’re being targeted,”比尔说,有时候这可能意味着“只是出生在某个地理区域或属于某个种族。”

他总结说,用户应该意识到这一事实,并据此做出风险决策。“我们还要记住,这是攻击者的失败案例:对于我们已经看到的这一活动,几乎可以肯定还有其他活动。”

更新(2019年9月9日,太平洋标准时间上午12:50):

苹果对谷歌提出异议’攻击的特征。

“在发布iOS补丁六个月后发布的Google帖子给人以假象‘mass 利用ation’ to ‘实时监控整个人群的私人活动,’在所有iPhone用户中引起恐惧,他们的设备已遭到破坏。从来没有这样” the company 注意到的.

袭击是“narrowly focused” and “仅影响了不到十个关注与维吾尔族社区相关内容的网站。”

苹果还表示,所有证据都表明这些网站攻击已经运行了大约两个月,而不是两年。

“我们已在2月份修复了有问题的漏洞-在得知漏洞后仅10天就非常迅速地解决了该漏洞。当Google与我们联系时,我们已经在修复漏洞。”

与谷歌不同,苹果没有定论说是目标人群。

另外,根据 泛滥,也有针对维吾尔族用户的与维吾尔族和东突厥斯坦有关的网站。

分享这个