Смартфоны и планшеты Apple с операционными системами от iOS 10 до iOS 12 как минимум в течение двух лет были уязвимы для атак через заражённые интернет-сайты. Об этом сообщили исследователи из подразделения кибербезопасности Google — Project Zero.
Группа анализа угроз Project Zero ранее в этом году обнаружила в сети сайты, тайно взломанные злоумышленниками, которые при это каждую неделю посещали тысячи человек. В сайты был внедрён вредоносный код, который использовал неизвестную ранее уязвимость в iOS, атакую любой iPhone, на котором открывали страницу в браузере.
Всего исследователи выявили пять вариантов атаки, задействовавшие 12 уязвимостей, в том числе 7 из них — в штатном браузере, Safari. Успешная атака приводила к получению хакерами прав суперпользователя (root-доступа) на смартфоне. Это, в свою очередь, открывало дорогу для удалённых действий через внедрённые вредоносные приложения, включая похищение любых данных и круглосуточную слежку.
По данным Google, уязвимости использовались для похищения фотографий и сообщений пользователей, а также отслеживания местоположения практически в реальном времени. Также, пишет TechCrunch, "дыра" могла использоваться для доступа к банковским счетам жертвы.
Исследователи проинформировали Apple о найденных уязвимостях в феврале, и через шесть дней компания выпустила заплатку в составе iOS 12.1.4. Тем не менее, не обновлённые устройства, а также те, на которые iOS 12 установить нельзя (все смартфоны до iPhone 5 и iPhone 5C включительно, планшеты до оригинального iPad Air включительно), остаются уязвимы.