IPhone-gebruikers zijn ruim twee jaar lang het doelwit geweest van een aanvalscampagne waarbij werd geprobeerd om malware op de toestellen te installeren. De aanvallers maakten gebruik van veertien kwetsbaarheden in iOS. Tenminste twee daarvan waren zerodaylekken, waar op het moment van de aanval geen update voor beschikbaar was. Via deze twee lekken kon een aanvaller die al toegang tot de telefoon had zijn rechten verhogen.
"Voor veel van de exploits is het onduidelijk of ze origineel als zeroday zijn misbruikt of als 1-day, nadat een beveiligingsupdate al beschikbaar was", zegt Samuel Groß van Google Project Zero. Onderzoekers van Google ontdekten de aanvallen, die plaatsvonden van 13 september 2016 tot januari 2019. In totaal gaat het om vijf verschillende "exploit chains" waarbij de aanvallers verschillende kwetsbaarheden combineerden om met rootrechten code op iPhones uit te voeren.
Om gebruikers aan te vallen plaatsten de aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezochten. Een tactiek die bekendstaat als "watering hole attack". Wanneer deze websites met een kwetsbare iPhone en Safari werden bezocht vond de installatie van malware automatisch plaats. Er was geen verdere interactie van de gebruiker vereist. Welke websites de aanvallers gebruikten is niet bekendgemaakt. Volgens Google hadden de aanvallers het voorzien op iPhone-gebruikers in "bepaalde gemeenschappen".
De malware richtte zich voornamelijk op het stelen van bestanden en uploaden van live locatiegegevens. Tevens had de malware toegang tot de databasebestanden waar populaire versleutelde chatapps van gebruikmaken, zoals WhatsApp, Telegram en iMessage. Deze databases, die onversleutelde verstuurde en ontvangen berichten bevatten, werden door de malware gestolen. Ook informatie die gebruikers via Gmail en Google Hangouts uitwisselden werd buitgemaakt, alsmede alle foto's op het apparaat.
Google laat weten dat de malware door een reboot van de iPhone werd verwijderd. De telefoon zou pas weer besmet raken als de gecompromitteerde website opnieuw werd bezocht. "Gegeven de hoeveelheid gestolen informatie hadden de aanvallers, door gestolen authenticatietokens van de keychain te gebruiken, mogelijk permanente toegang tot verschillende accounts en diensten, zelfs als ze geen toegang meer tot het toestel hadden", aldus Ian Beer van Google.
Het is onbekend hoe de aanvallers de kwetsbaarheden in iOS hebben ontdekt. "Ze hebben ze zelf kunnen vinden of gebruikten publieke exploits nadat er een beveiligingsupdate was uitgekomen", zegt Groß. Hij merkt op dat in het geval van WebKit, de rendering engine waar Safari gebruik van maakt, het vaak mogelijk is om details over een beveiligingslek al via de publieke broncode repository te achterhalen voordat gebruikers de beveiligingsupdate hebben ontvangen.
"Een aanvaller die over een werkende exploit beschikt voor een ouder WebKit-lek zou slechts een aantal dagen nodig hebben om de onderliggende kwetsbaarheid te vervangen en zo up-to-date toestellen aan te kunnenvallen zonder zelf een nieuw lek te hoeven vinden. Het is waarschijnlijk dat dit bij verschillende exploits het geval was", merkt Groß op. Alle kwetsbaarheden zijn inmiddels door Apple gepatcht. Hoeveel gebruikers slachtoffer zijn geworden is onbekend.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...
Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of ...
Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?
Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.