Во вторник кибербезопасная компания Volexity сообщила, что обнаружила новый эксплойт для iOS, который недавно использовался для исследования уйгурского мусульманского меньшинства в Китае.
Иллюстрация того, как работает бессонница. | Источник: Volexity
В июле 2019 года Apple исправила несколько уязвимостей в своей мобильной операционной системе с обновлением iOS 12.4, включая несколько недостатков в WebKit. Но исследователи из Volexity сказали, что по крайней мере один из этих недостатков активно использовался в дикой природе в 2020 году.
Эксплойт, который Volexity назвал «Бессонницей», был загружен на пользовательские устройства после посещения веб-сайтов, посвященных китайскому уйгурскому меньшинству. Затем злоумышленники использовали эксплойт, предоставляющий им root-доступ к пользовательским устройствам, для кражи незашифрованных сообщений от различных клиентов обмена сообщениями, электронной почты, фотографий, списков контактов и данных о местоположении GPS.
По сообщениям, эксплойт Бессонницы использовался в дикой природе в период с января по март 2020 года.
Volexity сказал, что эксплойт был развернут хакерской группой, которую они назвали Evil Eye, которую они считают спонсируемой государством организацией, действующей от имени Китая, чтобы шпионить за уйгурским меньшинством.
Считается, что хакерская группа также является угрозой за аналогичным набором эксплойтов для iOS, обнаруженных Google и Volexity в августе 2019 года. Эти эксплойты использовались для слежки за уйгурами в Китае по крайней мере с 2016 года.
По сравнению с предыдущими эксплойтами, Insomnia была расширена до целевой и включает сквозную зашифрованную связь из приложений, таких как ProtonMail и Signal. Исследователи полагают, что уйгуры знали о происходящем наблюдении и предпринимали шаги для защиты своих коммуникаций.
Поскольку Insomnia — это эксплойт на основе WebKit, он работает в любом браузере, работающем на устройстве iOS. Исследователи подтвердили, что браузеры Safari, Chrome и Microsoft Edge были уязвимы, что означает, что любой пользователь iOS, посетивший уйгурские сайты, мог заразиться.
Уязвимость WebKit присутствовала в iOS 12.3, iOS 12.3.1 и iOS 12.3.2, но iOS 12.4 и более новые версии безопасны. Стоит отметить, что Insomnia не достигла постоянства на устройстве, а это значит, что для удаления вредоносного кода достаточно простой перезагрузки.
