Google: zeroday-aanvallen tegen Android en iPhone begonnen met sms-link
De afgelopen maanden kwamen Apple, Google en Samsung met beveiligingsupdates voor meerdere actief aangevallen zerodaylekken. De kwetsbaarheden werden gebruikt bij aanvallen die begonnen met een sms-link en het werk waren van verschillende spywareleveranciers, zo laat Google vandaag weten.
Fabrikanten zoals Apple, Google en Microsoft laten geregeld weten dat ze kwetsbaarheden hebben verholpen die al voor het uitkomen van de patch actief werden misbruikt. Details over dergelijke zeroday-aanvallen worden echter zelden gegeven. Vandaag geeft Google details over twee campagnes, gericht tegen Android- en iOS-gebruikers. Daarbij maakten de aanvallers gebruik van zowel bekende als zeroday-kwetsbaarheden.
De eerste campagne werd afgelopen november ontdekt en bestond uit sms-berichten aan gebruikers in Italië, Maleisië en Kazachstan. Volgens het bericht had de ontvanger een pakketje gemist. De link wees naar een exploitpagina, die in het geval van iOS van drie kwetsbaarheden gebruikmaakte, waaronder één zerodaylek. Via de aanval was het mogelijk om spyware op de iPhone van het slachtoffer te installeren.
Ook bij de aanval tegen Androidtelefoons werden drie kwetsbaarheden ingezet, waaronder weer één zeroday. Nadat slachtoffers op de link hadden geklikt en werden doorgestuurd naar de exploitpagina, stuurde die ze weer door naar een legitieme pagina om geen argwaan te wekken.
De tweede campagne die Google beschrijft werd afgelopen december waargenomen. Dit keer waren gebruikers van de Samsung Internet Browser het doelwit, waarbij de aanvallers verschillende zerodaylekken en bekende kwetsbaarheden combineerden. Wederom begon de aanval met een link in een sms-bericht, gericht aan gebruikers in de Verenigde Arabische Emiraten. Bij een succesvolle aanval werd er spyware op het toestel geïnstalleerd.
Google stelt dat het meer dan dertig spywareleveranciers volgt, die over verschillende mogelijkheden beschikken en hun diensten aan overheidsinstanties aanbieden. "Deze campagnes zijn een reminder dat de commerciële spyware-industrie springlevend is. Zelfs kleinere surveillanceleveranciers hebben toegang tot zerodays, en leveranciers die zerodaylekken in het geheim verzamelen en gebruiken vormen een grote dreiging voor het internet", aldus het techbedrijf.
Het is belangrijk om de verantwoordelijkheid voor beveiliging en privacy niet alleen bij de overheid te leggen, maar ook bij individuen en bedrijven. We moeten ons allemaal bewust zijn van de risico's en actie ondernemen om onze digitale veiligheid te waarborgen.
Voor een targeted aanval van 50K (heel goedkope zero day op een telefoon) is jouw huis en jouw brievenbus en jouw "handtekening" ook zo lek als een vergiet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
