Westerse overheidsfunctionarissen die LinkedIn op hun iPhone of iPad gebruiken zijn eerder dit jaar het doelwit van een zeroday-aanval geworden, zo stelt Google. De aanvallers gebruikten LinkedIn Messaging om berichten met malafide links naar doelwitten te sturen. De links wezen naar een malafide website die na verschillende controles dat het om een echte iPhone of iPad ging misbruik maakte van een kwetsbaarheid in Safari, aangeduid als CVE-2021-1879.
De exploit schakelde de Same-Origin-Policy beveiliging uit, die moet voorkomen dat bepaalde data tussen websites kan worden uitgewisseld. Zodoende konden authenticatiecookies van verschillende populaire websites worden gestolen, waaronder die van Google, Microsoft, LinkedIn, Facebook en Yahoo. Die werden vervolgens via een WebSocket naar een ip-adres van de aanvaller gestuurd.
Google stelt dat slachtoffers wel op de eerder genoemde websites moesten zijn ingelogd zodat de cookies via het Safari-lek konden worden gestolen. Er werd via de zeroday-aanval geen malware op het toestel geïnstalleerd. De aanval was gericht tegen apparaten met iOS versies 12.4 tot en met 13.7. Google ontdekte de aanval op 19 maart, een week later op 26 maart rolde Apple een beveiligingsupdate uit om de gebruikte kwetsbaarheid te verhelpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.