Согласно новому отчету Google, взломы iPhone, разработанные итальянской компанией RCS Lab, использовались правоохранительными органами в Европе. Хакерский инструмент использовал множество эксплойтов, позволяющих клиентам фирмы следить за личными сообщениями, контактами и паролями.
Однако Apple исправила все шесть эксплойтов, используемых в разных версиях iOS (см. ниже), поэтому регулярное обновление вашего iPhone защитит его от хакерских инструментов…
Подробности о шпионском ПО были раскрыты исследователями безопасности из группы анализа угроз Google (TAG), чья миссия состоит в обнаружении и противодействии «целевому и поддерживаемому правительством взлому».
Google заявила, что в течение многих лет отслеживала деятельность коммерческих поставщиков шпионского ПО, в том числе RCS Lab.
Семь из девяти уязвимостей нулевого дня [across iOS and Android] наша группа анализа угроз, обнаруженная в 2021 году, относится к этой категории: разработана коммерческими поставщиками и продана и используется субъектами, поддерживаемыми государством. TAG активно отслеживает более 30 поставщиков с разным уровнем сложности и публичности, продающих эксплойты или возможности наблюдения лицам, поддерживаемым государством.
Сегодня, наряду с Project Zero от Google, мы подробно описываем возможности, которые мы приписываем RCS Labs, итальянскому поставщику, который использует комбинацию тактик, включая нетипичные загрузки в качестве начальных векторов заражения, для целевых мобильных пользователей как на iOS, так и на Android.
Взлом iPhone от RCS Lab
Атаки не так опасны, как те, которые использует Pegasus NSO, поскольку атаки RCS требуют, чтобы владельцы iPhone были обмануты, чтобы заставить их щелкнуть ссылку. Тем не менее, компания придумала достаточно умный способ сделать это.
Мы полагаем, что в некоторых случаях злоумышленники работали с интернет-провайдером цели, чтобы отключить мобильную передачу данных цели. После отключения злоумышленник отправляет вредоносную ссылку через SMS с просьбой установить приложение для восстановления подключения к данным. Мы считаем, что именно по этой причине большинство приложений маскируются под приложения мобильных операторов. Когда участие провайдера невозможно, приложения маскируются под приложения для обмена сообщениями.
Приложения используют официальный метод Apple, предназначенный для компаний, чтобы установить внутренние приложения на iPhone, используемые сотрудниками.
Чтобы распространять iOS-приложение, злоумышленники просто следовали инструкциям Apple о том, как распространять проприетарные внутренние приложения на устройства Apple, и использовали протокол itms-services со следующим файлом манифеста и с использованием com.ios.Carrier в качестве идентификатора.
Полученное приложение подписано сертификатом компании 3-1 Mobile SRL (идентификатор разработчика: 58UP7GFWAA). Сертификат удовлетворяет всем требованиям к подписи кода iOS на любых устройствах iOS, поскольку компания была зарегистрирована в программе Apple Developer Enterprise. […]
Приложение разбито на несколько частей. Он содержит общую оболочку эксплойта повышения привилегий, которая используется шестью различными эксплойтами. Он также содержит минималистичный агент, способный извлекать с устройства интересные файлы, такие как база данных Whatsapp.
Google говорит, что обнаружил живые примеры взломанных телефонов в Италии и Казахстане, но CNN отмечает, что RCS заявляет, что несколько европейских правоохранительных органов являются клиентами, что делает вероятным, что iPhone в других странах также были взломаны.
Яблочные патчи
Macworld отмечает, что Apple исправила все используемые эксплойты iOS, поэтому ваш телефон защищен от всех из них при условии, что вы обновили как минимум iOS 15.2.
Если вам нужно проверить, какую версию iOS вы используете, вы можете сделать это в меню «Настройки» > «Основные» > «О программе». Для обновления перейдите в «Настройки» > «Основные» > «Обновление ПО».
Фото: Махди Бафанде/Unsplash
