IPhone-gebruikers zijn ruim twee jaar lang het doelwit geweest van een aanvalscampagne waarbij werd geprobeerd om malware op de toestellen te installeren. De aanvallers maakten gebruik van veertien kwetsbaarheden in iOS. Tenminste twee daarvan waren zerodaylekken, waar op het moment van de aanval geen update voor beschikbaar was. Via deze twee lekken kon een aanvaller die al toegang tot de telefoon had zijn rechten verhogen.

"Voor veel van de exploits is het onduidelijk of ze origineel als zeroday zijn misbruikt of als 1-day, nadat een beveiligingsupdate al beschikbaar was", zegt Samuel Groß van Google Project Zero. Onderzoekers van Google ontdekten de aanvallen, die plaatsvonden van 13 september 2016 tot januari 2019. In totaal gaat het om vijf verschillende "exploit chains" waarbij de aanvallers verschillende kwetsbaarheden combineerden om met rootrechten code op iPhones uit te voeren.

Om gebruikers aan te vallen plaatsten de aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezochten. Een tactiek die bekendstaat als "watering hole attack". Wanneer deze websites met een kwetsbare iPhone en Safari werden bezocht vond de installatie van malware automatisch plaats. Er was geen verdere interactie van de gebruiker vereist. Welke websites de aanvallers gebruikten is niet bekendgemaakt. Volgens Google hadden de aanvallers het voorzien op iPhone-gebruikers in "bepaalde gemeenschappen".

Malware

De malware richtte zich voornamelijk op het stelen van bestanden en uploaden van live locatiegegevens. Tevens had de malware toegang tot de databasebestanden waar populaire versleutelde chatapps van gebruikmaken, zoals WhatsApp, Telegram en iMessage. Deze databases, die onversleutelde verstuurde en ontvangen berichten bevatten, werden door de malware gestolen. Ook informatie die gebruikers via Gmail en Google Hangouts uitwisselden werd buitgemaakt, alsmede alle foto's op het apparaat.

Google laat weten dat de malware door een reboot van de iPhone werd verwijderd. De telefoon zou pas weer besmet raken als de gecompromitteerde website opnieuw werd bezocht. "Gegeven de hoeveelheid gestolen informatie hadden de aanvallers, door gestolen authenticatietokens van de keychain te gebruiken, mogelijk permanente toegang tot verschillende accounts en diensten, zelfs als ze geen toegang meer tot het toestel hadden", aldus Ian Beer van Google.

Kwetsbaarheden

Het is onbekend hoe de aanvallers de kwetsbaarheden in iOS hebben ontdekt. "Ze hebben ze zelf kunnen vinden of gebruikten publieke exploits nadat er een beveiligingsupdate was uitgekomen", zegt Groß. Hij merkt op dat in het geval van WebKit, de rendering engine waar Safari gebruik van maakt, het vaak mogelijk is om details over een beveiligingslek al via de publieke broncode repository te achterhalen voordat gebruikers de beveiligingsupdate hebben ontvangen.

"Een aanvaller die over een werkende exploit beschikt voor een ouder WebKit-lek zou slechts een aantal dagen nodig hebben om de onderliggende kwetsbaarheid te vervangen en zo up-to-date toestellen aan te kunnenvallen zonder zelf een nieuw lek te hoeven vinden. Het is waarschijnlijk dat dit bij verschillende exploits het geval was", merkt Groß op. Alle kwetsbaarheden zijn inmiddels door Apple gepatcht. Hoeveel gebruikers slachtoffer zijn geworden is onbekend.