Masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia
Mit iPhone’a jako urządzenia znacznie bezpieczniejszego i odporniejszego na ataki właśnie poważnie się zachwiał. Zespół Google Project Zero opisał serię ataków na użytkowników iPhone’ów, w których urządzenia były masowo infekowane złośliwym oprogramowaniem.
To najważniejsza i najciekawsza wiadomość dotycząca bezpieczeństwa systemu iOS, jaką przyszło nam kiedykolwiek czytać i opisywać. Przez dwa lata trwały ataki na użytkowników iPhone’ów z aktualnym oprogramowaniem, którzy odwiedzali pewne strony internetowe. Każdy odwiedzający mógł zostać zainfekowany, a złośliwe oprogramowanie mogło wykradać z telefonów poufne informacje. Oto, co wiemy o tym ataku.
Zaskakujące odkrycie
Częścią Google jest Threat Analysis Group – zespół monitorujący zagrożenia w sieci. To właśnie TAG odkrył na początku tego roku skuteczne ataki na iPhone’y, przeprowadzane przez pewne internetowe witryny. Niestety nic nie wiemy o tym, jakie były to strony ani kim były ofiary ataków. Wiemy jedynie, że strony te były odwiedzane przez tysiące osób tygodniowo, a każda odwiedzająca je osoba używająca iPhone’a mogła zostać skutecznie zainfekowana złośliwym oprogramowaniem.
Ataki przeanalizował i bardzo obszernie opisał inny zespół, Google Project Zero. W sumie odkryto 14 (!) eksploitów na system iOS, składających się na 5 łańcuchów ataków. Ataki sięgały dwóch lat wstecz i dotykały wersje iOS od 10 do 12. W momencie wykrycia atakujący potrafili pokonywać zabezpieczenia najnowszego wówczas dostępnego wydania iOS, co wskazuje, że wcześniejsze wersje ataków mogły także dotyczyć iOS z pełnymi aktualizacjami.
Co wiemy o złośliwym oprogramowaniu
P0 opublikował także analizę samego implantu, który był wgrywany na zhakowane telefony. Co bardzo ważne, złośliwe oprogramowanie było jedynie uruchamiane na zainfekowanym urządzeniu i nie przeżywało restartu. Do momentu restartu potrafiło jednak wykraść wiele informacji z iPhone’a ofiary. Narzędzie potrafiło między innymi odczytywać wiadomości z szyfrowanych komunikatorów, takich jak WhatsApp, Telegram czy iMessage. Oczywiście w przypadku nieszyfrowanych komunikatorów, takich jak np. Hangouts, dane też były wykradane. Implant zbierał ponadto informacje z aplikacji Gmaila, pełne bazy kontaktów czy wykonane zdjęcia. Dodatkowo umożliwiał śledzenie na żywo lokalizacji telefonu użytkownika.
Co bardzo ważne, implant wykradał bazę uwierzytelnień (keychain) oraz tokeny dostawców usług takich jak np. Google. To dawało atakującym dostęp do usług chmurowych ofiary nawet po tym, jak restart urządzenia usunął implant z telefonu ofiary.
Implant zbierał również informacje o zainfekowanym urządzeniu, takie jak model urządzenia, nazwa, ICCID karty SIM, numer seryjny telefonu, numer telefonu, wersja systemu, rozmiar miejsca na dysku i aktywny interfejs sieciowy. Implant łączył się co minutę z serwerem sterującym, oczekując na polecenia.
Wszystkie zebrane dane były przesyłane na serwer atakujących o stałym adresie IP. Co istotne, informacje były przesyłane jawnym tekstem, za pomocą protokołu HTTP. Brak było jakiegokolwiek szyfrowania, co oznacza, że każdy, kto dysponował możliwością podsłuchu łączy, mógł te dane wykraść po drodze.
Kto stoi za tym atakiem
Odkrywcy ataku nie wspominają w żaden sposób, na kogo mogą wskazywać ślady. Jest jednak pewna poszlaka – a jest nią czas trwania ataków. Wydaje się nam niemożliwe, by tego rodzaju ataki wymierzone w użytkowników z Europy lub USA przeszły tak długo niezauważone. Dlatego podejrzewamy, że ich celem musiały być witryny i społeczności z dalszych zakątków świata. Biorąc pod uwagę poziom zaawansowania technicznego ataków, jako pierwszych podejrzewalibyśmy Chiny – jednak brak jakichkolwiek innych podstaw do takiego wnioskowania.
Podsumowanie
Restart telefonu usuwa implant – to najważniejsza informacja. Druga ważna nowina – błędy zostały już dawno załatane i aktualny iOS nie jest podatny na opisywane warianty ataku. Niestety jest też trzecia informacja – na rynku jest ktoś, kto po raz pierwszy w historii przeprowadził serię ataków na wszystkich użytkowników iPhone’ów odwiedzających daną witrynę. Do tej pory ataki na iPhone’y były ściśle celowane w konkretne osoby – jak jednak widać, ta epoka już się skończyła. W redakcji iPhone’ów nie wyrzucamy – ale musimy uwzględnić te wydarzenia w naszym modelu ryzyka.
Aktualizacja
Opublikowany przez Google Project Zero materiał jest bardzo obszerny – poniżej będziemy dopisywać inne istotne informacje, na jakie natrafimy w czasie analizy:
- jeśli macie logi żądań HTTP POST ze swojej sieci, to poszukajcie ciągu „/list/suc?name=” – taki powinien znaleźć się z komunikacji implantu;
- dalsza lektura: główny post P0, analizy łańcuchów eksploitów 1, 2, 3, 4, 5, analiza implantu, analiza eksploitów na WebKita;
- z 14 odkrytych eksploitów 7 atakowało przeglądarkę, 5 jądro systemu plus użyto dwóch różnych sposobów ucieczki z sandboksa;
- atakowany był WebKit (czyli teoretycznie Chrome na iOS też), ale celem było tylko Safari;
- jak słusznie zauważył jeden z komentatorów, Google opublikował listę aplikacji, których dane implant pobierał domyślnie – znajdują się na niej komunikatory popularne wśród mniejszości etnicznych w Chinach (pełna lista to com.yahoo.Aerogram, com.microsoft.Office.Outlook, com.netease.mailmaster, com.rebelvox.voxer-lite, com.viber, com.google.Gmail, ph.telegra.Telegraph, com.tencent.qqmail, com.atebits.Tweetie2, net.whatsapp.WhatsApp, com.skype.skype, com.facebook.Facebook, com.tencent.xin).
Podobne wpisy
- Operacja Triangulacja, czyli jak rosyjskie służby sieją dezinformację w oparciu o cudze badania
- Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie
- Revolut zhakowany, wykradziono dane ponad 50 tysięcy klientów
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Ciekawy incydent bezpieczeństwa w LastPassie (nie, hasła nie wyciekły)
Nie zmienia to faktu, że IOS jest najbezpieczniejszy i dlatego zawsze, ale to zawsze będę brał pod każdego pracodawcy iPhony i iPady. Poza tym plebsu nie stać na te świecące cacka.
Wodzu masz rację, wróć do nas i rozdaj nam iPhony, ponieważ Androidy są o wiele gorsze
Niestety w obecnej sytuacji ekologicznej nie popłynę z Płocka pod prąd. Nigdy pod prąd nie pływam. Lecz iPhony i tak sobie załatwiajcie, bo mają przecież potrójnego sandboxa.
Psepraszam, ładnie to tak wyśmiewać? Pewnie nie zabrał ze sobą? :)
iPhona? Nie zabrał, ale jak go oddawał, to trzeba było mu siłą rozewrzeć chwyt, bo własną wolą nie dawał rady.
Nigdy pod prąd nie pływam
Bo g..no tylko z prądem płynie.
Tadzik wrzuć na luz :-)
Nice trick, Mr. Trump ;-)
„Nie zmienia to faktu, że IOS jest najbezpieczniejszy”
dlatego o sytuacji dowiadujemy się od konkurencji tworzącej androida bo po co bogaczy informować :P
„Nie zmienia to faktu, że IOS jest najbezpieczniejszy …”
Jak dla mnie niewystarczająco. Po prostu mniej niebezpieczny niż Android.
Zapytaj teraz Siri co przekazała do centrali przez wszystkie lata waszej znajomości.
Po co pytać? Dyrektorzy państwowych firm tak strzelają z ucha na wyjazdach zagranicznych, że Siri niepotrzebna xD
Ale plebsiak. Musi od pracodawcy wyciągać sprzęt, bo go na niego nie stać. Uuuuuu…
Zabezpieczenia Apple są jak linia Maginota.
https://pl.wikipedia.org/wiki/Linia_Maginota
Nie nabieram się na to.
znaczy objazd przez belgie i holandie i HURAA ;-D
Najlepszy kawałek: „The root causes I highlight here are not novel and are often overlooked: we’ll see cases of code which seems to have never worked, code that likely skipped QA or likely had little testing or review before being shipped to users.”
Dziękuję, do widzenia.
„There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, and if it was successful, install a monitoring implant. We estimate that these sites receive thousands of visitors per week.”
Czyli masówka, niezły wstyd dla iOS’a. Ostatnia taka katastrofa to chyba 0-day na Flasha z 3 lata temu, serwowany przez sieci reklamowe m.in. na Dailymotion.
Był też 0day na FF kradnący w Rosji pliki z systemów linuksowych :)
targetowane aplikacje też wskazują na Chiny
https://googleprojectzero.blogspot.com/2019/08/implant-teardown.html
com.rebelvox.voxer-lite
com.tencent.qqmail
com.tencent.xin
https://unit42.paloaltonetworks.com/unit42-henbox-chickens-come-home-roost/
HenBox appears to primarily target the Uyghurs – a minority Turkic ethnic group that is primarily Muslim and lives mainly in the Xinjiang Uyghur Autonomous Region in North West China.
(…)
This particular HenBox variant, as listed in Table 3 above, harvests data from two popular messaging and social media apps: Voxer Walkie Talkie Messenger (com.rebelvox.voxer) and Tencent’s WeChat (com.tencent.mm). These types of apps tend to store their data in databases and, as an example, HenBox accesses Voxer’s database from the file “/data/data/com.rebelvox.voxer/databases/rv.db”. Once opened, HenBox runs the following query to gather message information.
https://unit42.paloaltonetworks.com/unit42-spydealer-android-trojan-spying-40-apps/
com.rebelvox.voxer
Bardzo trafna obserwacja, dzięki!
Jeśli to Chiny to otwierają się ciekawe scenariusze. Np:
1. Jesteś tzw niezależnym ekspertem od czegokolwiek, może być od bezpieczeństwa
2. Do załatwiania wszystkich swoich i cudzych spraw używasz iPhona, iMessage, Facebook Messengera i WhatsAppa bo są najbezpieczniejsze na świecie, podkreślałeś to wielokrotnie
3. Dodatkowo robisz jakieś głupią rzecz do wyboru: wyciągasz od kumpli plotki i tajemnice co się dzieje w ich firmach, szerzysz nieprawdziwe informacje o ich pracodawcach, romansujesz z panienkami na konferencjach będąc w związku i jeszcze masz zdjęcia, załatwiasz sprawy klientów swojego pracodawcy na prywatnym niezarządzanym sprzęcie, sprzedajesz część zdobytych informacji dziennikarzom a wszystko zapisujesz w telefonie, masz maile, logi z rozmów itd
4. Przy tym jeszcze chlapiesz na prawo i lewo w serwisach społecznościowych, na konferencjach, spotkaniach jaki jesteś aktywny
5. Wreszcie wzbudzasz zainteresowanie służb CHRL i optymalizują ci przetwarzanie danych w twoim ios bez twojej wiedzy
6. Następnie ich kolega daje ci znać jakie sprawki pożyczone z twojego sprzętu mogą wypłynąć, chyba że powiesz czasem głosno to i owo, czyli
7. Nagle zaczynasz kochać chińskie firmy i technologie, wszystkim o tym opowiadasz, wyzywasz każdego, kto ma inne zdanie, zostajesz znawcą jakiejś przyszłościowej dziedziny, udowadniasz wszystkim, że Amerykanie, Niemcy czy Francuzi nie są w tym najlepsi lecz mają wyłącznie interes gospodarczy
To political-fiction, ale podjarałem się wizją
Ciekawe, a więc był to trojan rządowy do inwigilowania Ujgurów…
Na to wskazuje też ilosć informacji identyfikujących telefon użytkownika ( takie jak model urządzenia, nazwa, ICCID karty SIM, numer seryjny telefonu, numer telefonu, wersja systemu ) ,które cyberprzestępcom nie byłyby do niczego potrzebne; do tego aplikacja nie zawierała modułów kradzieży danych o charakterze finansowym (dane kart kredytowych, dane logowania do sklepów internetowych i banków) ,a skupiała się na kontaktach społecznych ofiar.
Witamy w świecie Orwella 2.0 ! Kiedyś, żeby rozpracować figuranta i jego sieć powiązań trzeba było wieloletniej pracy kilkudziesięciu SBeków, teraz wystarczy, że kliknie w jeden link…
To bylo tylko dla safari czy niezalezne odnprzegladarki?
Co prawda WebKit, ale tylko w Safari.
Ale mamy pewien indykator szczelności IOS. Jeśli Apple uda się rzeczywiście zabezpieczyć system, w Chinach zdelegalizuja posiadanie IPhone
A ja tu widzę inne dno w tej historii. Bardzo wygodna sytuacja dla Apple, oczywiście dopóki się nie wydało. Ogłaszamy wszem i wobec, że nie ustąpimy FBI w żadnej sprawie, w której się zgłaszają. A że w oprogramowaniu mamy dziury, o których nie wiedzieliśmy, cóż… Na pewno nikt ich nie wykorzystał. Zawsze trzymamy stronę klientów, bo tak dużo płacą :D
Jakoś przypomina mi to „totalne zaskoczenie” ówczesnego szefa Google wiadomością, że NSA podsłuchiwała ich komunikację między różnymi data center. Nieszyfrowaną…
Dokładnie tak.
W wielkich międzynarodowych koncernach ścierają się wizje i cele wielu ludzi, grup nacisku i lobbystów. To nie są monolity jak nam się wydaje, tam każdy ma jakiś merkantylny cel. Duże korpo nie może i często nawet nie chce nie współpracować ze służbami specjalnymi, szczególnie w Ameryce a stamtąd wywodzi się wiele dużych brandów.
Tak jak myślisz, wygodnie jest przedstawiać się międzynarodowej społeczności jako firma dbająca o dyskrecję i dane swoich użytkowników i nie chwalić się cichą, często nieoficjalną współpracą ze służbami, lub zatajać wiedzę o lukach w oprogramowaniu o których się wie że są i że wiedzą o nich także inwigilujące służby. To bardzo sprytne. Można współpracować ze służbami i jednocześnie zachować twarz przed swoimi użytkownikami i międzynarodową opinią publiczną. Z punktu widzenia korpa, to idealne połączenie!
Czyli, że Apple pełni tu rolę „honeypota”. Klient, który dba o prywatność i bezpieczeństwo jest cenniejszy dla różnych służb niż klient masowy. Może mieć ciekawe rzeczy na urządzeniach.
Super wreszcie bardzo dobra informacja. Ludzie przestańcie się jarać jabluszkami i lansowac z podróbkami dorobek MC
Chodziło mi o przeciętne lale z torebkami z logo MC
co to MC? poważnie pytam.
Minecraft. Sam mam taką torebkę. Głupki w firmie myślą, że to Master Chef :)
dystansu trochę. każdy myśli wg znanych mu krytriów. ty widzisz minecrafta, bo gimbaze na tym przesiedziałeś oni master chefa, bo całe życie w szkiełko się gapią, a inny pomyśli, że chodzi o jakiegoś rapera :)
Zdaje się, że gdzieś w szufladzie mam jeszcze n900…
Każdy kto uważa, że IOS jest bezpieczniejszy od Androida to dzieciak, którego łatwo okraść z danych jak dziecko. Każdy sprzęt, który można kupić w sklepie i zabrać do domu jest tak samo łatwy do rozpracowania dla kogoś kto zna się na temacie.
Za to najłatwiej jest okraść idiotę. Właśnie kogoś takiego kto wierzy, że są telefony takie jak IOS, które są bezpieczniejsze od innych i dlatego musisz zapłacić za nie 4 razy tyle, co w rzeczywistości są warte.
https://www.lifewire.com/reasons-iphone-is-more-secure-than-android-2000308
„Foolproof Facial Recognition” ten akapit jest najciekawszy :)
No i co z tego wynika? Jest mniej malware na ios i lepiej zabezpiecza przed „chakerami”. Przed ukierunkowanymi specjalistycznymi atakami nie zabezpiecza żaden system. A co z PRISM, wykradaniem danych użytkownika, pseudoszyfrowaniem, dziurawymi komunikatorami? Tutaj musisz zaufać producentowi w sensie „zapłaciłem i wymagam” ale czy bezgraniczne zaufanie wystarczy być bezpiecznym.
Dzięki, świetny art!
Swietny!
Weź jednak pod uwagę że w androidzie nie trzeba nic wykradać, google oficjalnie sprzedaje dane. Oni zarabiają właśnie na danych a apple zarabia na sprzedaży urządzeń dlatego własnie iphony są droższe. Kupując urządzenie z androidem masz zniżkę za to że oddajesz swoją prywatność. Jeśli myślisz że nie masz nic do ukrycia to poczytaj o cambridge analitycs jak wykorzystali dane do manipulacji ludźmi podczas wyborów.
Sprawdźcie za jakie 0-day najwięcej płacą na czarnym rynku, czemu tak naprawdę Blackberry zrezygnowało z własnej produkcji sprzętu i dlaczego sprzedany F-16 nigdy nie zaatakuje kraju producenta. Bezpieczeństwo to tylko stan świadomości a o tą możecie jeszcze sami zadbać w pewnych granicach. @zorro – mysle że wcale Cie nie poniosło i takich historii z pewnością nie brakuje ;)
A ja sie zastanawiam czy wejść w ich ekosystem – nadal nie mam pewności czy zrobić ten ruch ;)
Ja się też zastanawiałem ale na nie przeważyła ostatnia afera z asystentami głosowymi:
https://www.theguardian.com/technology/2019/jul/26/apple-contractors-regularly-hear-confidential-details-on-siri-recordings
Po prostu Apple to takie mniejsze zło.
Czyli to taka prostsza wersja Pegasus-a w wydaniu chińskim.
Zamiast naparzać się jedni z drugimi że iOS to a Android tamto zastanowiłbym się nad realnym zabezpieczeniem smartfona.
Nieważne czy z jednym czy z drugim systemem.
Nie bez powodu Trump-owi wymieniają raz w miesiącu , albo i częściej jego aparatat na nowy. Swoją drogą TVN24 jakoś nie zapytał producentów smartfonów w jaki sposób zabezpieczają swoje produkty przed takimi „kwiatkami” a powinien.
Zawsze uważałem, że iPhone’y to nic dobrego!
Przegladac siec na telefonie? To dobre dla dzieciakow!
Wybaczcie ale to całe „kupuję Iphone bo plebsu na to nie stać” to Januszowate i wioskowe zachowanie. Tak jak sąsiad który kupuje większy telewizor bo Tadzik z naprzeciwka kupił 52 cale.
Bogaci ludzie których poznawałem zwłaszcza ci z Europy zachodniej nie szafują się swoim bogactwem a u nas wychodzą kompleksy i małomiasteczkowość jak zwykle.
Apple zarabia na urządzeniach a Google na twoich danych dlatego jest różnica w cenie a to że ktoś kupuje bo jest droższe to już jego sprawa. Po za tym flagowe samsungi są niewiele tańsze od iphonów tak samo jak thinkpady w porównaniu z macbookami.