30.08.2019 | 12:11

Adam Haertle

Masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia

Mit iPhone’a jako urządzenia znacznie bezpieczniejszego i odporniejszego na ataki właśnie poważnie się zachwiał. Zespół Google Project Zero opisał serię ataków na użytkowników iPhone’ów, w których urządzenia były masowo infekowane złośliwym oprogramowaniem.

To najważniejsza i najciekawsza wiadomość dotycząca bezpieczeństwa systemu iOS, jaką przyszło nam kiedykolwiek czytać i opisywać. Przez dwa lata trwały ataki na użytkowników iPhone’ów z aktualnym oprogramowaniem, którzy odwiedzali pewne strony internetowe. Każdy odwiedzający mógł zostać zainfekowany, a złośliwe oprogramowanie mogło wykradać z telefonów poufne informacje. Oto, co wiemy o tym ataku.

Zaskakujące odkrycie

Częścią Google jest Threat Analysis Group – zespół monitorujący zagrożenia w sieci. To właśnie TAG odkrył na początku tego roku skuteczne ataki na iPhone’y, przeprowadzane przez pewne internetowe witryny. Niestety nic nie wiemy o tym, jakie były to strony ani kim były ofiary ataków. Wiemy jedynie, że strony te były odwiedzane przez tysiące osób tygodniowo, a każda odwiedzająca je osoba używająca iPhone’a mogła zostać skutecznie zainfekowana złośliwym oprogramowaniem.

Ataki przeanalizował i bardzo obszernie opisał inny zespół, Google Project Zero. W sumie odkryto 14 (!) eksploitów na system iOS, składających się na 5 łańcuchów ataków. Ataki sięgały dwóch lat wstecz i dotykały wersje iOS od 10 do 12. W momencie wykrycia atakujący potrafili pokonywać zabezpieczenia najnowszego wówczas dostępnego wydania iOS, co wskazuje, że wcześniejsze wersje ataków mogły także dotyczyć iOS z pełnymi aktualizacjami.

Co wiemy o złośliwym oprogramowaniu

P0 opublikował także analizę samego implantu, który był wgrywany na zhakowane telefony. Co bardzo ważne, złośliwe oprogramowanie było jedynie uruchamiane na zainfekowanym urządzeniu i nie przeżywało restartu. Do momentu restartu potrafiło jednak wykraść wiele informacji z iPhone’a ofiary. Narzędzie potrafiło między innymi odczytywać wiadomości z szyfrowanych komunikatorów, takich jak WhatsApp, Telegram czy iMessage. Oczywiście w przypadku nieszyfrowanych komunikatorów, takich jak np. Hangouts, dane też były wykradane. Implant zbierał ponadto informacje z aplikacji Gmaila, pełne bazy kontaktów czy wykonane zdjęcia. Dodatkowo umożliwiał śledzenie na żywo lokalizacji telefonu użytkownika.

Co bardzo ważne, implant wykradał bazę uwierzytelnień (keychain) oraz tokeny dostawców usług takich jak np. Google. To dawało atakującym dostęp do usług chmurowych ofiary nawet po tym, jak restart urządzenia usunął implant z telefonu ofiary.

Implant zbierał również informacje o zainfekowanym urządzeniu, takie jak model urządzenia, nazwa, ICCID karty SIM, numer seryjny telefonu, numer telefonu, wersja systemu, rozmiar miejsca na dysku i aktywny interfejs sieciowy. Implant łączył się co minutę z serwerem sterującym, oczekując na polecenia.

Wszystkie zebrane dane były przesyłane na serwer atakujących o stałym adresie IP. Co istotne, informacje były przesyłane jawnym tekstem, za pomocą protokołu HTTP. Brak było jakiegokolwiek szyfrowania, co oznacza, że każdy, kto dysponował możliwością podsłuchu łączy, mógł te dane wykraść po drodze.

Kto stoi za tym atakiem

Odkrywcy ataku nie wspominają w żaden sposób, na kogo mogą wskazywać ślady. Jest jednak pewna poszlaka – a jest nią czas trwania ataków. Wydaje się nam niemożliwe, by tego rodzaju ataki wymierzone w użytkowników z Europy lub USA przeszły tak długo niezauważone. Dlatego podejrzewamy, że ich celem musiały być witryny i społeczności z dalszych zakątków świata. Biorąc pod uwagę poziom zaawansowania technicznego ataków, jako pierwszych podejrzewalibyśmy Chiny – jednak brak jakichkolwiek innych podstaw do takiego wnioskowania.

Podsumowanie

Restart telefonu usuwa implant – to najważniejsza informacja. Druga ważna nowina – błędy zostały już dawno załatane i aktualny iOS nie jest podatny na opisywane warianty ataku. Niestety jest też trzecia informacja – na rynku jest ktoś, kto po raz pierwszy w historii przeprowadził serię ataków na wszystkich użytkowników iPhone’ów odwiedzających daną witrynę. Do tej pory ataki na iPhone’y były ściśle celowane w konkretne osoby – jak jednak widać, ta epoka już się skończyła. W redakcji iPhone’ów nie wyrzucamy – ale musimy uwzględnić te wydarzenia w naszym modelu ryzyka.

Aktualizacja

Opublikowany przez Google Project Zero materiał jest bardzo obszerny – poniżej będziemy dopisywać inne istotne informacje, na jakie natrafimy w czasie analizy:

  • jeśli macie logi żądań HTTP POST ze swojej sieci, to poszukajcie ciągu „/list/suc?name=” – taki powinien znaleźć się z komunikacji implantu;
  • dalsza lektura: główny post P0, analizy łańcuchów eksploitów 1, 2, 3, 4, 5, analiza implantu, analiza eksploitów na WebKita;
  • z 14 odkrytych eksploitów 7 atakowało przeglądarkę, 5 jądro systemu plus użyto dwóch różnych sposobów ucieczki z sandboksa;
  • atakowany był WebKit (czyli teoretycznie Chrome na iOS też), ale celem było tylko Safari;
  • jak słusznie zauważył jeden z komentatorów, Google opublikował listę aplikacji, których dane implant pobierał domyślnie – znajdują się na niej komunikatory popularne wśród mniejszości etnicznych w Chinach (pełna lista to com.yahoo.Aerogram, com.microsoft.Office.Outlook, com.netease.mailmaster, com.rebelvox.voxer-lite, com.viber, com.google.Gmail, ph.telegra.Telegraph, com.tencent.qqmail, com.atebits.Tweetie2, net.whatsapp.WhatsApp, com.skype.skype, com.facebook.Facebook, com.tencent.xin).
Powrót

Komentarze

  • 2019.08.30 12:39 polsko-amerykański expert ICS

    Nie zmienia to faktu, że IOS jest najbezpieczniejszy i dlatego zawsze, ale to zawsze będę brał pod każdego pracodawcy iPhony i iPady. Poza tym plebsu nie stać na te świecące cacka.

    Odpowiedz
    • 2019.08.30 12:56 dziadek

      Wodzu masz rację, wróć do nas i rozdaj nam iPhony, ponieważ Androidy są o wiele gorsze

      Odpowiedz
      • 2019.08.30 13:15 polsko-amerykański expert ICS

        Niestety w obecnej sytuacji ekologicznej nie popłynę z Płocka pod prąd. Nigdy pod prąd nie pływam. Lecz iPhony i tak sobie załatwiajcie, bo mają przecież potrójnego sandboxa.

        Odpowiedz
        • 2019.08.30 16:29 Bolec

          Psepraszam, ładnie to tak wyśmiewać? Pewnie nie zabrał ze sobą? :)

          Odpowiedz
          • 2019.08.31 17:23 Bolek

            iPhona? Nie zabrał, ale jak go oddawał, to trzeba było mu siłą rozewrzeć chwyt, bo własną wolą nie dawał rady.

        • 2019.08.31 08:23 Czesio

          Nigdy pod prąd nie pływam

          Bo g..no tylko z prądem płynie.

          Odpowiedz
        • 2019.09.01 09:06 typek

          Tadzik wrzuć na luz :-)

          Odpowiedz
    • 2019.08.30 13:04 Morris

      Nice trick, Mr. Trump ;-)

      Odpowiedz
    • 2019.08.30 14:18 3mortis

      „Nie zmienia to faktu, że IOS jest najbezpieczniejszy”

      dlatego o sytuacji dowiadujemy się od konkurencji tworzącej androida bo po co bogaczy informować :P

      Odpowiedz
    • 2019.08.30 15:02 Tomasz

      „Nie zmienia to faktu, że IOS jest najbezpieczniejszy …”

      Jak dla mnie niewystarczająco. Po prostu mniej niebezpieczny niż Android.

      Zapytaj teraz Siri co przekazała do centrali przez wszystkie lata waszej znajomości.

      Odpowiedz
      • 2019.08.30 18:39 zorr

        Po co pytać? Dyrektorzy państwowych firm tak strzelają z ucha na wyjazdach zagranicznych, że Siri niepotrzebna xD

        Odpowiedz
    • 2019.08.31 03:28 Stefan

      Ale plebsiak. Musi od pracodawcy wyciągać sprzęt, bo go na niego nie stać. Uuuuuu…

      Odpowiedz
    • 2019.09.02 10:45 BArtek

      Zabezpieczenia Apple są jak linia Maginota.
      https://pl.wikipedia.org/wiki/Linia_Maginota
      Nie nabieram się na to.

      Odpowiedz
      • 2019.09.13 09:52 histo(e)ryk

        znaczy objazd przez belgie i holandie i HURAA ;-D

        Odpowiedz
  • 2019.08.30 13:36 Helmut Azbest

    Najlepszy kawałek: „The root causes I highlight here are not novel and are often overlooked: we’ll see cases of code which seems to have never worked, code that likely skipped QA or likely had little testing or review before being shipped to users.”
    Dziękuję, do widzenia.

    Odpowiedz
  • 2019.08.30 13:43 wujek

    „There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, and if it was successful, install a monitoring implant. We estimate that these sites receive thousands of visitors per week.”

    Czyli masówka, niezły wstyd dla iOS’a. Ostatnia taka katastrofa to chyba 0-day na Flasha z 3 lata temu, serwowany przez sieci reklamowe m.in. na Dailymotion.

    Odpowiedz
    • 2019.08.30 13:45 Adam Haertle

      Był też 0day na FF kradnący w Rosji pliki z systemów linuksowych :)

      Odpowiedz
  • 2019.08.30 15:26 ...

    targetowane aplikacje też wskazują na Chiny
    https://googleprojectzero.blogspot.com/2019/08/implant-teardown.html
    com.rebelvox.voxer-lite
    com.tencent.qqmail
    com.tencent.xin
    https://unit42.paloaltonetworks.com/unit42-henbox-chickens-come-home-roost/
    HenBox appears to primarily target the Uyghurs – a minority Turkic ethnic group that is primarily Muslim and lives mainly in the Xinjiang Uyghur Autonomous Region in North West China.
    (…)
    This particular HenBox variant, as listed in Table 3 above, harvests data from two popular messaging and social media apps: Voxer Walkie Talkie Messenger (com.rebelvox.voxer) and Tencent’s WeChat (com.tencent.mm). These types of apps tend to store their data in databases and, as an example, HenBox accesses Voxer’s database from the file “/data/data/com.rebelvox.voxer/databases/rv.db”. Once opened, HenBox runs the following query to gather message information.
    https://unit42.paloaltonetworks.com/unit42-spydealer-android-trojan-spying-40-apps/
    com.rebelvox.voxer

    Odpowiedz
    • 2019.08.30 18:29 Adam Haertle

      Bardzo trafna obserwacja, dzięki!

      Odpowiedz
    • 2019.08.30 19:39 zorro

      Jeśli to Chiny to otwierają się ciekawe scenariusze. Np:
      1. Jesteś tzw niezależnym ekspertem od czegokolwiek, może być od bezpieczeństwa
      2. Do załatwiania wszystkich swoich i cudzych spraw używasz iPhona, iMessage, Facebook Messengera i WhatsAppa bo są najbezpieczniejsze na świecie, podkreślałeś to wielokrotnie
      3. Dodatkowo robisz jakieś głupią rzecz do wyboru: wyciągasz od kumpli plotki i tajemnice co się dzieje w ich firmach, szerzysz nieprawdziwe informacje o ich pracodawcach, romansujesz z panienkami na konferencjach będąc w związku i jeszcze masz zdjęcia, załatwiasz sprawy klientów swojego pracodawcy na prywatnym niezarządzanym sprzęcie, sprzedajesz część zdobytych informacji dziennikarzom a wszystko zapisujesz w telefonie, masz maile, logi z rozmów itd
      4. Przy tym jeszcze chlapiesz na prawo i lewo w serwisach społecznościowych, na konferencjach, spotkaniach jaki jesteś aktywny
      5. Wreszcie wzbudzasz zainteresowanie służb CHRL i optymalizują ci przetwarzanie danych w twoim ios bez twojej wiedzy
      6. Następnie ich kolega daje ci znać jakie sprawki pożyczone z twojego sprzętu mogą wypłynąć, chyba że powiesz czasem głosno to i owo, czyli
      7. Nagle zaczynasz kochać chińskie firmy i technologie, wszystkim o tym opowiadasz, wyzywasz każdego, kto ma inne zdanie, zostajesz znawcą jakiejś przyszłościowej dziedziny, udowadniasz wszystkim, że Amerykanie, Niemcy czy Francuzi nie są w tym najlepsi lecz mają wyłącznie interes gospodarczy

      To political-fiction, ale podjarałem się wizją

      Odpowiedz
    • 2020.02.15 08:41 Klon

      Ciekawe, a więc był to trojan rządowy do inwigilowania Ujgurów…
      Na to wskazuje też ilosć informacji identyfikujących telefon użytkownika ( takie jak model urządzenia, nazwa, ICCID karty SIM, numer seryjny telefonu, numer telefonu, wersja systemu ) ,które cyberprzestępcom nie byłyby do niczego potrzebne; do tego aplikacja nie zawierała modułów kradzieży danych o charakterze finansowym (dane kart kredytowych, dane logowania do sklepów internetowych i banków) ,a skupiała się na kontaktach społecznych ofiar.

      Witamy w świecie Orwella 2.0 ! Kiedyś, żeby rozpracować figuranta i jego sieć powiązań trzeba było wieloletniej pracy kilkudziesięciu SBeków, teraz wystarczy, że kliknie w jeden link…

      Odpowiedz
  • 2019.08.30 15:50 Kamilo

    To bylo tylko dla safari czy niezalezne odnprzegladarki?

    Odpowiedz
    • 2019.08.30 16:18 Adam Haertle

      Co prawda WebKit, ale tylko w Safari.

      Odpowiedz
  • 2019.08.30 18:54 Blob

    Ale mamy pewien indykator szczelności IOS. Jeśli Apple uda się rzeczywiście zabezpieczyć system, w Chinach zdelegalizuja posiadanie IPhone

    Odpowiedz
    • 2019.08.30 19:55 troll sharkrat

      A ja tu widzę inne dno w tej historii. Bardzo wygodna sytuacja dla Apple, oczywiście dopóki się nie wydało. Ogłaszamy wszem i wobec, że nie ustąpimy FBI w żadnej sprawie, w której się zgłaszają. A że w oprogramowaniu mamy dziury, o których nie wiedzieliśmy, cóż… Na pewno nikt ich nie wykorzystał. Zawsze trzymamy stronę klientów, bo tak dużo płacą :D
      Jakoś przypomina mi to „totalne zaskoczenie” ówczesnego szefa Google wiadomością, że NSA podsłuchiwała ich komunikację między różnymi data center. Nieszyfrowaną…

      Odpowiedz
      • 2019.08.31 09:16 Duży Pies

        Dokładnie tak.
        W wielkich międzynarodowych koncernach ścierają się wizje i cele wielu ludzi, grup nacisku i lobbystów. To nie są monolity jak nam się wydaje, tam każdy ma jakiś merkantylny cel. Duże korpo nie może i często nawet nie chce nie współpracować ze służbami specjalnymi, szczególnie w Ameryce a stamtąd wywodzi się wiele dużych brandów.
        Tak jak myślisz, wygodnie jest przedstawiać się międzynarodowej społeczności jako firma dbająca o dyskrecję i dane swoich użytkowników i nie chwalić się cichą, często nieoficjalną współpracą ze służbami, lub zatajać wiedzę o lukach w oprogramowaniu o których się wie że są i że wiedzą o nich także inwigilujące służby. To bardzo sprytne. Można współpracować ze służbami i jednocześnie zachować twarz przed swoimi użytkownikami i międzynarodową opinią publiczną. Z punktu widzenia korpa, to idealne połączenie!

        Odpowiedz
        • 2019.08.31 18:42 Grzegorz

          Czyli, że Apple pełni tu rolę „honeypota”. Klient, który dba o prywatność i bezpieczeństwo jest cenniejszy dla różnych służb niż klient masowy. Może mieć ciekawe rzeczy na urządzeniach.

          Odpowiedz
  • 2019.08.30 21:33 SynBiskupa

    Super wreszcie bardzo dobra informacja. Ludzie przestańcie się jarać jabluszkami i lansowac z podróbkami dorobek MC

    Odpowiedz
    • 2019.08.30 21:36 SynBiskupa

      Chodziło mi o przeciętne lale z torebkami z logo MC

      Odpowiedz
      • 2019.09.01 08:47 boliduupa

        co to MC? poważnie pytam.

        Odpowiedz
        • 2019.09.01 22:00 Stultus Maximus

          Minecraft. Sam mam taką torebkę. Głupki w firmie myślą, że to Master Chef :)

          Odpowiedz
          • 2019.09.02 20:53 Bigus Dickus

            dystansu trochę. każdy myśli wg znanych mu krytriów. ty widzisz minecrafta, bo gimbaze na tym przesiedziałeś oni master chefa, bo całe życie w szkiełko się gapią, a inny pomyśli, że chodzi o jakiegoś rapera :)

  • 2019.08.31 11:49 Maciek

    Zdaje się, że gdzieś w szufladzie mam jeszcze n900…

    Odpowiedz
  • 2019.08.31 12:39 Witold

    Każdy kto uważa, że IOS jest bezpieczniejszy od Androida to dzieciak, którego łatwo okraść z danych jak dziecko. Każdy sprzęt, który można kupić w sklepie i zabrać do domu jest tak samo łatwy do rozpracowania dla kogoś kto zna się na temacie.
    Za to najłatwiej jest okraść idiotę. Właśnie kogoś takiego kto wierzy, że są telefony takie jak IOS, które są bezpieczniejsze od innych i dlatego musisz zapłacić za nie 4 razy tyle, co w rzeczywistości są warte.

    Odpowiedz
      • 2019.09.01 08:50 Maciek

        „Foolproof Facial Recognition” ten akapit jest najciekawszy :)

        Odpowiedz
      • 2019.09.01 12:05 Jurek

        No i co z tego wynika? Jest mniej malware na ios i lepiej zabezpiecza przed „chakerami”. Przed ukierunkowanymi specjalistycznymi atakami nie zabezpiecza żaden system. A co z PRISM, wykradaniem danych użytkownika, pseudoszyfrowaniem, dziurawymi komunikatorami? Tutaj musisz zaufać producentowi w sensie „zapłaciłem i wymagam” ale czy bezgraniczne zaufanie wystarczy być bezpiecznym.

        Odpowiedz
      • 2019.09.01 16:56 Michał

        Dzięki, świetny art!

        Odpowiedz
    • 2019.09.05 09:47 Wacki

      Weź jednak pod uwagę że w androidzie nie trzeba nic wykradać, google oficjalnie sprzedaje dane. Oni zarabiają właśnie na danych a apple zarabia na sprzedaży urządzeń dlatego własnie iphony są droższe. Kupując urządzenie z androidem masz zniżkę za to że oddajesz swoją prywatność. Jeśli myślisz że nie masz nic do ukrycia to poczytaj o cambridge analitycs jak wykorzystali dane do manipulacji ludźmi podczas wyborów.

      Odpowiedz
  • 2019.09.02 22:52 HardwareBased

    Sprawdźcie za jakie 0-day najwięcej płacą na czarnym rynku, czemu tak naprawdę Blackberry zrezygnowało z własnej produkcji sprzętu i dlaczego sprzedany F-16 nigdy nie zaatakuje kraju producenta. Bezpieczeństwo to tylko stan świadomości a o tą możecie jeszcze sami zadbać w pewnych granicach. @zorro – mysle że wcale Cie nie poniosło i takich historii z pewnością nie brakuje ;)

    Odpowiedz
  • 2019.09.04 10:12 duck

    A ja sie zastanawiam czy wejść w ich ekosystem – nadal nie mam pewności czy zrobić ten ruch ;)

    Odpowiedz
  • 2019.09.04 13:40 Bolesław

    Czyli to taka prostsza wersja Pegasus-a w wydaniu chińskim.
    Zamiast naparzać się jedni z drugimi że iOS to a Android tamto zastanowiłbym się nad realnym zabezpieczeniem smartfona.
    Nieważne czy z jednym czy z drugim systemem.
    Nie bez powodu Trump-owi wymieniają raz w miesiącu , albo i częściej jego aparatat na nowy. Swoją drogą TVN24 jakoś nie zapytał producentów smartfonów w jaki sposób zabezpieczają swoje produkty przed takimi „kwiatkami” a powinien.

    Odpowiedz
  • 2019.09.05 19:11 Danny

    Zawsze uważałem, że iPhone’y to nic dobrego!

    Odpowiedz
  • 2019.09.07 18:15 Kuba

    Przegladac siec na telefonie? To dobre dla dzieciakow!

    Odpowiedz
  • 2019.09.07 20:10 co ?

    Wybaczcie ale to całe „kupuję Iphone bo plebsu na to nie stać” to Januszowate i wioskowe zachowanie. Tak jak sąsiad który kupuje większy telewizor bo Tadzik z naprzeciwka kupił 52 cale.

    Bogaci ludzie których poznawałem zwłaszcza ci z Europy zachodniej nie szafują się swoim bogactwem a u nas wychodzą kompleksy i małomiasteczkowość jak zwykle.

    Odpowiedz
    • 2019.09.09 11:02 wacki

      Apple zarabia na urządzeniach a Google na twoich danych dlatego jest różnica w cenie a to że ktoś kupuje bo jest droższe to już jego sprawa. Po za tym flagowe samsungi są niewiele tańsze od iphonów tak samo jak thinkpady w porównaniu z macbookami.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia

Komentarze