Фахівці компанії Google повідомили про одну з найбільших в історії кібератак на власників iPhone. За їх даними, зловмисники зламали низку сайтів і з їх допомогою заражали iOS-пристрої шкідливим ПЗ через уразливості нульового дня в операційній системі.
Про уразливості, як і про саму шкідливої кампанії, не було відомо протягом кількох років.
В рамках шкідливої операції невідомі зламали сайти, аудиторія яких налічувала кілька тисяч користувачів на тиждень. Жертвам досить було лише зайти на скомпрометований ресурс, і на їх iPhone відразу завантажувалася шкідлива програма. Клікати на елементи сайту або прокручувати сторінки було не обов’язково.
Шкідливе ПЗ могло викрадати конфіденційну інформацію жертв, в тому числі фотографії з iMessage і GPS-координати поточного місцезнаходження. У шкідливого ПЗ також був доступ до паролів в Keychain і базі даних незашифрованих повідомлень в сервісах для спілкування на зразок Google Hangouts і навіть до зашифрованих повідомлень WhatsApp, iMessage і Telegram.
Після перезавантаження iPhone шкідливе ПЗ видалялося, проте пристрій і його власник, як і раніше залишалися уразливими до кібератаки.
В цілому фахівці Google Threat Analysis Group виявили п’ять окремих унікальних експлойтів для 14 уразливостей, в тому числі нульового дня. Дослідники повідомили про них Apple в лютому нинішнього року, і компанія виправила їх з виходом iOS 12.1.4. Уразливості зачіпають всі версії iOS, починаючи від iOS 10 і закінчуючи iOS 12.1.2 включно.
До речі, в офіційному магазині Google Play виявили шкідливий додаток зі шпигунським функціоналом. Програма-шпигун була замаскована під додаток Radio Balouch, який використовувався для прослуховування радіо в онлайн-режимі.
Нагадаємо, що після звістки про метод віддаленого зламу “розумного” брелока від електрокара Tesla Model S, виробник компанія Pektron випустила нову версію ключа з більш надійним шифруванням. Однак дослідники знову знайшли спосіб зламати його, клонувати брелок і викрасти автомобіль.
Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.
Стало відомо, що Google впроваджує нову ініціативу Privacy Sandbox, у рамках якої розробляється новий набір відкритих стандартів. За їх допомогою Google прагне створити баланс між конфіденційністю користувачів і бажанням рекламних компаній відстежувати їх.
Окрім цього, Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom і Tencent підписали угоду про створення консорціуму щодо захисту конфіденційності даних.
Apple випустила оновлення мобільної операційної системи iOS, яка усуває уразливість, що дозволяла встановити джейлбрейк на iPhone з новою версією ОС.
Зверніть увагу, в програмному забезпеченні Lenovo Solution Centre (LSC), встановленому на мільйонах комп’ютерів Lenovo, виявлено можливість підвищення привілеїв, за допомогою якої зловмисник може виконати код і отримати права адміністратора або системні привілеї.
Користувачам Google Chrome рекомендується встановити свіже оновлення, що виправляє критичну уразливість в браузері.
Apple розповіла користувачам про нові зміни в голосовому помічнику Siri.