Onderzoekers hebben in de eerste maanden van dit jaar malware ontdekt die ongepatchte iPhones en iPads infecteert en vervolgens data van onder andere chatapplicatie Signal en maildienst ProtonMail steelt. Het gaat om een zogeheten drive-by download, zo meldt securitybedrijf Volexity. Alleen het bezoeken van een gecompromitteerde website met een toestel dat op iOS 12.3, 12.3.1 en 12.3.2 draait is voldoende om met de malware besmet te raken. Er is geen verdere interactie van gebruikers vereist.
De kwetsbaarheid waar de aanvallers voor hun exploit gebruik van maken bevindt zich in WebKit en werd in juli 2019 door Apple met de release van iOS 12.4 gepatcht. De aanvallen die Volexity ontdekte vonden plaats van januari tot en met maart van dit jaar. Hoewel de iOS-update al een half jaar beschikbaar is, wil dat niet zeggen dat alle iOS-toestellen up-to-date zijn. Volgens Apple draait zeven procent van de iPhones op iOS 11 of ouder en 23 procent op iOS 12. Welke versie wordt niet vermeld. Bij iPads ligt dit percentage hoger. Zo draait 16 procent op iOS 11 of ouder en 27 procent op iOS 12.
Browsers op iOS moeten van de WebKit-engine gebruikmaken. Het maakte dan ook niet uit of gebruikers de gecompromitteerde websites met Apple Safari, Google Chrome of Microsoft Edge bezochten. De exploit werd op verschillende gecompromitteerde Oeigoerse websites aangetroffen, waaronder de Uighur Times en Uyghur Academy. Vorig jaar kwam Google met een uitgebreid rapport over drive by-aanvallen die misbruik van iOS-kwetsbaarheden maakten. Ook deze aanvallen vonden via gecompromitteerde websites plaats.
Om welke gecompromitteerde websites werd niet bekendgemaakt. Later bleek dat het ging om websites van Oeigoeren ging, een islamitische minderheid in China. Via de iOS-kwetsbaarheden waar Google over rapporteerde werd malware geïnstalleerd die zich voornamelijk richtte op het stelen van bestanden en uploaden van live locatiegegevens. Tevens had de malware toegang tot de databasebestanden waar populaire versleutelde chatapps van gebruikmaken, zoals WhatsApp, Telegram en iMessage. Deze databases, die onversleutelde verstuurde en ontvangen berichten bevatten, werden door de malware gestolen. Ook informatie die gebruikers via Gmail en Google Hangouts uitwisselden werd buitgemaakt, alsmede alle foto's op het apparaat.
Nadat de aanval vorig jaar augustus in het nieuws kwam trokken de aanvallers zich terug en verwijderden hun kwaadaardige code van de gecompromitteerde websites. Begin dit jaar waren ze terug met een aangepaste exploit en malware. De exploit werkt nu ook tegen nieuwere iOS-versies dan de aanvallen die door Google waren beschreven. Daarnaast was de malware nu ook in staat om data van de Signal- en ProtonMail-apps te stelen. Zo werden via Signal uitgewisselde bestanden gestolen, alsmede een kopie van de verstuurde berichten.
Signal-berichten zijn versleuteld op de telefoon opgeslagen. Om ze te ontsleutelen is een sleutel uit de keychain van de telefoon vereist. Onderzoekers hebben niet vastgesteld dat deze sleutel ook automatisch wordt gestolen. Volgens Volexity suggereert het toevoegen van de mogelijkheid om data van de Signal- en ProtonMail-apps te stelen dat de Oeigoerse gemeenschap zich bewust is van de monitoring die plaatsvindt en dit via beveiligde communicatie-apps probeert te voorkomen.
De onderzoekers merken verder op dat de malware een reboot van het toestel niet kan overleven. Dit houdt in dat de aanvallers snel alle data moeten stelen of dat ze een mogelijkheid hebben om de telefoon opnieuw te infecteren. Het wordt ook niet uitgesloten dat de aanvallers over een methode beschikken om in eerste instantie besmette iPhones wel permanent te infecteren, maar dat dit alleen handmatig gebeurt nadat het doelwit is geverifieerd.
Eerder bleek dat ook Oeigoerse Android- en Windowsgebruikers het doelwit van aanvallen waren. "Het is nu bevestigd dat in de afgelopen maanden Oeigoerse websites voor alle grote platformen malware hebben verspreid, wat een aanzienlijke ontwikkeling en investering aan de kant van de aanvallers toont om de Oeigoerse populatie te bespioneren", zo concludeert het securitybedrijf.
Deze posting is gelocked. Reageren is niet meer mogelijk.