Użytkownicy urządzeń z systemem iOS powszechnie przekonani są o wysokiej jakości ich zabezpieczeń przed zakusami cyberprzestępców. Wiara ta może być jednak mocno na wyrost. Zdaniem Google przez niemal dwa lata w systemie iOS od wersji 10 do wersji 12 istniały niezałatane luki w jego jądrze i przeglądarce Safari.

Po odwiedzeniu zainfekowanej lub specjalnie spreparowanej strony cyberprzestępcy otrzymywali uprawnienia „roota” na zaatakowanym urządzeniu z IOS. To z kolei pozwalało na instalowanie złośliwego kodu bez wiedzy użytkownika, dawało też dostęp do wszystkich plików, w tym zdjęć, wiadomości, kontaktów. Instalowany w systemie złośliwy kod przesyłał im również pęk kluczy użytkownika, w tym tych autoryzujących urządzenie użytkownika w wielu serwisach webowych.

Złośliwe oprogramowanie działało tak długo, jak długo użytkownik nie zresetował urządzenia. Mogło więc działać na nim przez wiele dni. Eksperci Google nie podają, które strony zawierały złośliwy kod pozwalający na zainstalowanie w systemie złośliwego oprogramowania, wspomnieli tylko, że każdego tygodnia odwiedzało je tysiące użytkowników.

Wspomniane luki odkryli w lutym bieżącego roku eksperci z prowadzonego przez Google zespołu zwanego Project Zero, zajmującego się wyszukiwaniem lub w zabezpieczeniach m.in. systemów operacyjnych. Apple szybko wprowadziło odpowiednie łaty i niecały tydzień po zgłoszeniu udostępniło aktualizację iOS do wersji 12.1.4.

Pełny opis wspomnianych luk dostępny jest na blogu zespołu Project Zero.

Źródło: Gazeta.pl za Project Zero