image

IPhone-gebruikers twee jaar lang doelwit van aanvalscampagne

vrijdag 30 augustus 2019, 08:22 door Redactie, 9 reacties

IPhone-gebruikers zijn ruim twee jaar lang het doelwit geweest van een aanvalscampagne waarbij werd geprobeerd om malware op de toestellen te installeren. De aanvallers maakten gebruik van veertien kwetsbaarheden in iOS. Tenminste twee daarvan waren zerodaylekken, waar op het moment van de aanval geen update voor beschikbaar was. Via deze twee lekken kon een aanvaller die al toegang tot de telefoon had zijn rechten verhogen.

"Voor veel van de exploits is het onduidelijk of ze origineel als zeroday zijn misbruikt of als 1-day, nadat een beveiligingsupdate al beschikbaar was", zegt Samuel Groß van Google Project Zero. Onderzoekers van Google ontdekten de aanvallen, die plaatsvonden van 13 september 2016 tot januari 2019. In totaal gaat het om vijf verschillende "exploit chains" waarbij de aanvallers verschillende kwetsbaarheden combineerden om met rootrechten code op iPhones uit te voeren.

Om gebruikers aan te vallen plaatsten de aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezochten. Een tactiek die bekendstaat als "watering hole attack". Wanneer deze websites met een kwetsbare iPhone en Safari werden bezocht vond de installatie van malware automatisch plaats. Er was geen verdere interactie van de gebruiker vereist. Welke websites de aanvallers gebruikten is niet bekendgemaakt. Volgens Google hadden de aanvallers het voorzien op iPhone-gebruikers in "bepaalde gemeenschappen".

Malware

De malware richtte zich voornamelijk op het stelen van bestanden en uploaden van live locatiegegevens. Tevens had de malware toegang tot de databasebestanden waar populaire versleutelde chatapps van gebruikmaken, zoals WhatsApp, Telegram en iMessage. Deze databases, die onversleutelde verstuurde en ontvangen berichten bevatten, werden door de malware gestolen. Ook informatie die gebruikers via Gmail en Google Hangouts uitwisselden werd buitgemaakt, alsmede alle foto's op het apparaat.

Google laat weten dat de malware door een reboot van de iPhone werd verwijderd. De telefoon zou pas weer besmet raken als de gecompromitteerde website opnieuw werd bezocht. "Gegeven de hoeveelheid gestolen informatie hadden de aanvallers, door gestolen authenticatietokens van de keychain te gebruiken, mogelijk permanente toegang tot verschillende accounts en diensten, zelfs als ze geen toegang meer tot het toestel hadden", aldus Ian Beer van Google.

Kwetsbaarheden

Het is onbekend hoe de aanvallers de kwetsbaarheden in iOS hebben ontdekt. "Ze hebben ze zelf kunnen vinden of gebruikten publieke exploits nadat er een beveiligingsupdate was uitgekomen", zegt Groß. Hij merkt op dat in het geval van WebKit, de rendering engine waar Safari gebruik van maakt, het vaak mogelijk is om details over een beveiligingslek al via de publieke broncode repository te achterhalen voordat gebruikers de beveiligingsupdate hebben ontvangen.

"Een aanvaller die over een werkende exploit beschikt voor een ouder WebKit-lek zou slechts een aantal dagen nodig hebben om de onderliggende kwetsbaarheid te vervangen en zo up-to-date toestellen aan te kunnenvallen zonder zelf een nieuw lek te hoeven vinden. Het is waarschijnlijk dat dit bij verschillende exploits het geval was", merkt Groß op. Alle kwetsbaarheden zijn inmiddels door Apple gepatcht. Hoeveel gebruikers slachtoffer zijn geworden is onbekend.

Image

Reacties (9)
30-08-2019, 09:49 door Anoniem
Aha, Google ontdekt het weer bij een concurrent. Het mooie is natuurlijk dat een reboot de malware verwijderd, kom daar bij een Android pruts ding maar eens mee aan. Doe daar maar eens iets aan Google en trek de licentie in van Smartphone fabrikanten die er geen duidelijk update beleid op nahouden.
30-08-2019, 12:34 door Anoniem
Door Anoniem: Aha, Google ontdekt het weer bij een concurrent. Het mooie is natuurlijk dat een reboot de malware verwijderd, kom daar bij een Android pruts ding maar eens mee aan. Doe daar maar eens iets aan Google en trek de licentie in van Smartphone fabrikanten die er geen duidelijk update beleid op nahouden.

Fijn dat project zero bestaat. Het maakt mij persoonlijk niet uit wie of wat het ontdekt, zolang het maar ontdekt wordt en (in samenwerking) opgelost wordt.

Quote: "Project Zero’s mission is to make 0-day hard. We often work with other companies to find and report security vulnerabilities, with the ultimate goal of advocating for structural security improvements in popular systems to help protect people everywhere."
30-08-2019, 16:19 door Anoniem
En de Apple fanboys maar roepen dat Android zo lek is en slecht voor je privacy. Inmiddels is Apple wel aardig door de mand gevallen als een systeem dat net zo onveilig en slecht is voor je privacy als Android. Onlangs nog het Siri afluister verhaal. En Apple maar roepen dat privacy top prioriteit is bij hun systemen.

Als je dan nog talloze communicatie problemen ziet in combinatie met T-Mobile 4G dan blijkt zo langzamerhand dat Apple gewoon zwaar overgewaardeerd spul is voor exorbitante prijzen.
Maar men wil nu éénmaal showen met de nieuwste iPhone...
30-08-2019, 18:59 door Anoniem
Door Anoniem: En de Apple fanboys maar roepen dat Android zo lek is en slecht voor je privacy. Inmiddels is Apple wel aardig door de mand gevallen als een systeem dat net zo onveilig en slecht is voor je privacy als Android. Onlangs nog het Siri afluister verhaal. En Apple maar roepen dat privacy top prioriteit is bij hun systemen.

Als je dan nog talloze communicatie problemen ziet in combinatie met T-Mobile 4G dan blijkt zo langzamerhand dat Apple gewoon zwaar overgewaardeerd spul is voor exorbitante prijzen.
Maar men wil nu éénmaal showen met de nieuwste iPhone...

Ik denk dat Apple gebruikers gewoon een veilig product kiezen wat ook nog eens minstens 5 jaar lang updates krijgt.
Als je een Samsung 10+ (999,- euro) bekijkt met een update garantie van 2 jaar en 250,- goedkoper is dan een iPhone X (1150,-) dan zou ik het wel weten, 250,- euro extra voor 3 jaar software updates én upgrades.
Gecontroleerde App store met nauwelijks malware of een Play store met een partij bagger erin van heb ik jou daar.

Ga je voor veiligheid én privacy kies je zeker niet voor Android.

Verder is het goed dat iedereen zijn eigen keuze kan maken zonder uitgemaakt te worden voor 'fanBOY'
31-08-2019, 09:43 door Anoniem
Onderstaande verhaal met halve waarheden klinkt anders ook als een fanboy-reactie ;-)

Ik denk dat Apple gebruikers gewoon een veilig product kiezen wat ook nog eens minstens 5 jaar lang updates krijgt.
Als je een Samsung 10+ (999,- euro) bekijkt met een update garantie van 2 jaar en 250,- goedkoper is dan een iPhone X (1150,-) dan zou ik het wel weten, 250,- euro extra voor 3 jaar software updates én upgrades.
Gecontroleerde App store met nauwelijks malware of een Play store met een partij bagger erin van heb ik jou daar.

Ga je voor veiligheid én privacy kies je zeker niet voor Android.

Verder is het goed dat iedereen zijn eigen keuze kan maken zonder uitgemaakt te worden voor 'fanBOY'[/quote]
31-08-2019, 12:50 door Anoniem
Door Anoniem: Onderstaande verhaal met halve waarheden klinkt anders ook als een fanboy-reactie ;-)

Goed onderbouwde reactie waarom het halve waarheden zouden zijn. Maar je, veel meer mogen we tegenwoordig niet verwachten op deze site.
31-08-2019, 15:28 door Anoniem
Het is niet zonder meer waar dat de chat-databases onvercijferd op de telefoon staan. Ze zijn wel degelijk vercijferd, maar op een manier die transparant is voor een gebruiker met de juiste rechten. Dus de malware met root-rechten kon ze wel lezen.
31-08-2019, 19:19 door Anoniem
Dus als ik gewoon met mijn brave browser blijf surfen dan loop ik dat gevaar niet? Soms wil ik safari nog wel eens gebruiken voor een paar sites maar nooit om vrijelijk ermee te surfen, daar is Brave voor waar ik javascript en ads in kan blokkeren.
02-09-2019, 11:53 door Anoniem
Door Anoniem: Aha, Google ontdekt het weer bij een concurrent. Het mooie is natuurlijk dat een reboot de malware verwijderd, kom daar bij een Android pruts ding maar eens mee aan. Doe daar maar eens iets aan Google en trek de licentie in van Smartphone fabrikanten die er geen duidelijk update beleid op nahouden.

Het blijkt nu dat Android ook kwetsbaar is, was Google 'even' vergeten te melden ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.