iPhones sårbare over for hackingværktøj i flere måneder, siger forskere

i næsten et år var spionprogrammer, der blev solgt af Israels NSO-gruppe, angiveligt bevæbnet med et computersikkerhedssupervåben: et nul-fodaftryk, nul-klik, nul-dages udnyttelse, der brugte en sårbarhed i iMessage til at tage kontrol over en iPhone med et tryk på en knap.

det betyder, at det ikke ville have efterladt noget synligt spor af at blive placeret på target ‘ s telefoner, kunne installeres ved blot at sende en besked om, at offeret ikke engang behøvede at klikke på og arbejdede selv på telefoner, der kørte den daværende nyeste version af iOS, operativsystemet til iPhones.

forskere ved University of Torontos Borgerlaboratorium sagde, at de opdagede det påståede hackingværktøj, der er blevet kaldt “Kismet”. Hvis Kismet kan betragtes som den trojanske hest, der bruges til at omgå sikkerheden på en iPhone, så er soldaterne indeni et andet stykke program, der sælges af NSO-gruppen, kaldet Pegasus, og det er skræmmende magtfuldt, ifølge krav fra Borgerlaboratoriet.

“vi mener, at denne version af Pegasus havde evnen til at spore placering, få adgang til adgangskoder og gemte legitimationsoplysninger på telefonen, optage lyd fra mikrofonen, herunder både omgivende ‘hot mic’ optagelse og lyd af krypterede telefonopkald og tage billeder via telefonens kamera.”

Borgerlaboratorium sagde, at det havde fundet 37 kendte eksempler på Kismet, der blev brugt af NSO-klienter mod journalister, der dækker nyheder i og omkring Mellemøsten. Men forskerne sagde:”i betragtning af den globale rækkevidde af NSO Groups kundebase, den tilsyneladende sårbarhed for næsten alle iPhone-enheder forud for iOS 14-opdateringen, formoder vi, at de infektioner, vi observerede, var en lille brøkdel af de samlede angreb, der blev brugt med denne udnyttelse”.

i en erklæring sagde en Apple-talsmand: “Hos Apple arbejder vores teams utrætteligt for at styrke sikkerheden for vores brugeres data og enheder. iOS 14 er et stort spring fremad inden for sikkerhed og leverede ny beskyttelse mod denne slags angreb. Angrebet beskrevet i forskningen var meget målrettet af nationalstater mod specifikke individer. Vi opfordrer altid kunderne til at hente den nyeste version af programmet for at beskytte sig selv og deres data.”

selvom de første påståede angreb ved hjælp af Kismet var i sommer, hævdede Borgerlaboratoriet, at logfiler fra kompromitterede telefoner foreslog den samme teknik eller en relateret nul-klik nul-dag-udnyttelse blev brugt så langt tilbage som i oktober 2019.

borgerlaboratoriernes påstande, som Apple sagde, at de ikke havde været i stand til uafhængigt at verificere, antyder opdagelsen af den mest alvorlige hackingindsats rettet mod iOS-brugere, siden en ikke-relateret udbredt kampagne blev lukket ned i februar 2019.

denne kampagne, opdaget af Google-ingeniører og afsløret i August sidste år, brugte en sikkerhedsfejl i, hvordan iPhones besøger hjemmesider for at stjæle private data som iMessages, fotos og GPS-placering i realtid. I en offentlig erklæring forsøgte Apple at bagatellisere dette angreb ved at bemærke, at det “påvirkede færre end et dusin hjemmesider, der fokuserer på indhold relateret til Uighur-samfundet”. Virksomheden gjorde et lignende punkt om Kismet og bemærkede, at NSO-koncernens kunder er nationalstater, og dens mål er et begrænset antal individer.

Apple har forsøgt at gøre privatlivets fred og sikkerhed til store salgsargumenter for sine enheder. Virksomheden er stolt af ikke at høste brugerdata til kommercielle formål og gør opmærksom på, at der aldrig har været nogen udbredt ondskab i iPhone ‘ s historie. Så langt tilbage som 2014 angreb Apples administrerende direktør, Tim Cook, Googles Android på scenen på hans virksomheds verdensomspændende udviklerkonference ved at bemærke, at platformen “dominerer” markedet for mobile ondsindede programmer og kalder det et “giftigt helvede af sårbarheder”.

men i de senere år er kløften mellem Apple og dets konkurrenter lukket. Og da flere sikkerhedsforskere har fokuseret på mobile enheder, er der opdaget pinlige sårbarheder.

tidligere denne måned afslørede en anden Google-forsker, Ian Beer, en voldsom “nul-klik nul-dag” iOS-sårbarhed, der gjorde det muligt for ham at tage total kontrol over en iPhone ved blot at være i trådløs rækkevidde af enheden. Denne fejl blev rettet af Apple i iOS 13.5.

NSO Group sagde, at dets produkter er til bekæmpelse af “alvorlig organiseret kriminalitet og terrorbekæmpelse”, og ethvert bevis for en alvorlig overtrædelse af dets politikker vil blive undersøgt. Det tilføjede: “som vi gentagne gange har sagt, har vi ikke adgang til nogen information med hensyn til identiteten af enkeltpersoner, som vores system bruges til at foretage overvågning på.”

{{#ticker}}

{{topLeft}}

{{bottomLeft}}

{{topRight}}

{{bottomRight}}

{{#goalExceededMarkerPercentage}}

{{/goalExceededMarkerPercentage}}

{{/ticker}}

{{heading}}

{{#paragraphs}}

{{.}}

{{/paragraphs}}{{highlightedText}}

{{#cta}}{{text}}{{/cta}}
Remind me in May

Accepted payment methods: Visa, Mastercard og PayPal

vi vil være i kontakt for at minde dig om at bidrage. Hold øje med en besked i din indbakke i Maj 2021. Hvis du har spørgsmål om at bidrage, bedes du kontakte os.

  • Del på Facebook
  • Del på kvidre
  • Del via e-mail
  • Del på LinkedIn
  • Del på Pinterest
  • Del på Facebook
  • Del på Messenger



+