I ricercatori della sicurezza di Google affermano di aver trovato una serie di siti Web dannosi che, una volta visitati, potevano tranquillamente hackerare l’iPhone di una vittima. Questo sfruttando una serie di difetti software precedentemente non divulgati.
Project Zero di Google ha dichiarato in un post di blog approfondito che i siti Web sono stati visitati migliaia di volte alla settimana da vittime ignare. Lo hanno descritto come un attacco “indiscriminato”.
“La semplice visita al sito compromesso è stata sufficiente affinché il server exploit attaccasse il dispositivo. Se aveva successo, installava un software di monitoraggio“, ha dichiarato Ian Beer, ricercatore di sicurezza presso Project Zero.
Gli iPhone sono stato hackerati per almeno due anni
I ricercatori hanno scoperto cinque distinte catene di exploit che coinvolgono 12 diversi difetti di sicurezza. Tra queste almeno sette che coinvolgono Safari, il browser Web incorporato su iPhone. Le cinque catene di attacco separate hanno consentito a un utente malintenzionato di ottenere l’accesso “root” al dispositivo. Esso è il più alto livello di accesso e privilegio su un iPhone.
In tal modo, un utente malintenzionato potrebbe accedere all’intera gamma di funzionalità del dispositivo normalmente vietate all’utente. Ciò significa che un utente malintenzionato potrebbe installare applicazioni dannose per spiare un proprietario di iPhone a sua insaputa o consenso.
Google ha affermato, in base alla sua analisi, che le vulnerabilità sono state utilizzate per rubare foto e messaggi di un utente, nonché per tracciare la loro posizione in tempo quasi reale.
Le vulnerabilità riguardano iOS 10 fino a iOS 12
Google ha rivelato privatamente le vulnerabilità a febbraio, dando ad Apple solo una settimana per correggere i difetti e distribuire gli aggiornamenti ai propri utenti. Apple ha pubblicato una correzione sei giorni dopo con iOS 12.1.4 per iPhone 5s e iPad Air e versioni successive.
Il produttore di iPhone e iPad in generale ha una buona reputazione in materia di sicurezza e privacy. Di recente la società ha aumentato il pagamento massimo di bug a $ 1 milione per i ricercatori di sicurezza che trovano difetti negli iPhone. In particolare parliamo di exploit che rendono possibile ottenere privilegi a livello di root senza alcuna interazione da parte dell’utente.