Фахівці компанії Google повідомили про одну з найбільших в історії кібератак на власників iPhone. За їх даними, зловмисники зламали низку сайтів і з їх допомогою заражали iOS-пристрої шкідливим ПЗ через уразливості нульового дня в операційній системі.

Про уразливості, як і про саму шкідливої кампанії, не було відомо протягом кількох років.

В рамках шкідливої ​​операції невідомі зламали сайти, аудиторія яких налічувала кілька тисяч користувачів на тиждень. Жертвам досить було лише зайти на скомпрометований ресурс, і на їх iPhone відразу завантажувалася шкідлива програма. Клікати на елементи сайту або прокручувати сторінки було не обов’язково.

Шкідливе ПЗ могло викрадати конфіденційну інформацію жертв, в тому числі фотографії з iMessage і GPS-координати поточного місцезнаходження. У шкідливого ПЗ також був доступ до паролів в Keychain і базі даних незашифрованих повідомлень в сервісах для спілкування на зразок Google Hangouts і навіть до зашифрованих повідомлень WhatsApp, iMessage і Telegram.

Після перезавантаження iPhone шкідливе ПЗ видалялося, проте пристрій і його власник, як і раніше залишалися уразливими до кібератаки.

В цілому фахівці Google Threat Analysis Group виявили п’ять окремих унікальних експлойтів для 14 уразливостей, в тому числі нульового дня. Дослідники повідомили про них Apple в лютому нинішнього року, і компанія виправила їх з виходом iOS 12.1.4. Уразливості зачіпають всі версії iOS, починаючи від iOS 10 і закінчуючи iOS 12.1.2 включно.

До речі, в офіційному магазині Google Play виявили шкідливий додаток зі шпигунським функціоналом. Програма-шпигун була замаскована під додаток Radio Balouch, який використовувався для прослуховування радіо в онлайн-режимі.

Нагадаємо, що після звістки про метод віддаленого зламу “розумного” брелока від електрокара Tesla Model S, виробник компанія Pektron випустила нову версію ключа з більш надійним шифруванням. Однак дослідники знову знайшли спосіб зламати його, клонувати брелок і викрасти автомобіль.

Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.

Стало відомо, що Google впроваджує нову ініціативу Privacy Sandbox, у рамках якої розробляється новий набір відкритих стандартів. За їх допомогою Google прагне створити баланс між конфіденційністю користувачів і бажанням рекламних компаній відстежувати їх.

Окрім цього, Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom і Tencent підписали угоду про створення консорціуму щодо захисту конфіденційності даних.

Apple випустила оновлення мобільної операційної системи iOS, яка усуває уразливість, що дозволяла встановити джейлбрейк на iPhone з новою версією ОС.

Зверніть увагу, в програмному забезпеченні Lenovo Solution Centre (LSC), встановленому на мільйонах комп’ютерів Lenovo, виявлено можливість підвищення привілеїв, за допомогою якої зловмисник може виконати код і отримати права адміністратора або системні привілеї.

Користувачам Google Chrome рекомендується встановити свіже оновлення, що виправляє критичну уразливість в браузері.

Apple розповіла користувачам про нові зміни в голосовому помічнику Siri.