חוקרי האבטחה בצוות ״Project Zero״ של גוגל מדווחים כי גילו פרצה חמורה במערכת ההפעלה iOS, שאפשרה לאתרי אינטרנט להשיג גישה מלאה לקובץ הסיסמאות (Keychain) ברגע שבו מתבצעת גישה אליו על ידי המשתמש. הצוות חשף במהלך השנה כמה וכמה פרצות, אך זו כנראה החמורה מכולן: קיימות הוכחות בשטח לכך שגורמים זדוניים כבר ניצלו אותה במשך קרוב לשנתיים, ברשת של אתרים בהם ביקרו אלפי משתמשים בכל שבוע.
הפרצה כוללת התקנה של רכיב תוכנה החושף מידע אישי מתוך מערכת ההפעלה, לרבות קבצים, מיקום מדויק, הודעות וכאמור גם סיסמאות. מאחר והפרצה מאפשרת למעשה גישה לגיבוי המכשיר, הרי שהודעות שנשלחו באופן מקודד (לדוגמא דרך האפליקציות וואטסאפ או iMessage) נחשפו גם הן כטקסט פשוט.
בעוד שרכיב התוכנה הזדוני נמחק בעת הפעלה מחודשת של ה-iPhone, הרי שהסיסמאות שכבר נחשפו נותרו תקפות וההאקר יכל להמשיך להשתמש בהן – בזמן שלמשתמש לא הייתה כל סיבה לחשוד שמכשירו נפרץ.
עוד ב-TGspot
הפצצה נפלה: סדרת ה-Mate 30 של וואווי לא תוכל להשתמש ביישומי...
הוכרז: Meizu 16s Pro עם +Snapdragon 855
הפרצה דווחה לאפל בחודש פברואר האחרון, ובעוד שבדרך כלל מאפשרת גוגל חלון של 90 ימים לצורך תיקון התקלה, הפעם בחרה החברה – ככל הנראה בשל חומרת המצב – לדרוש כי הפרצה תתוקן בתוך שבוע בלבד. אפל, כך נראה, הצליחה להיענות לאתגר, והתיקון הגיע כחלק מעדכון מערכת ההפעלה iOS 12.1.4.
עם זאת, החוקרים סבורים כי בשל נהלי עבודה שגויים באפל בכל הנוגע לאבטחת מידע, ייתכן בהחלט כי קיימות פרצות נוספות מסוג זה שטרם נחשפו. ״על הקמפיין האחד הזה שראינו, כמעט בטוח שיש עוד אחרים שעדיין לא נתגלו״, הם כותבים במה שנראה כביקורת החמורה ביותר של Project Zero כלפי אפל עד כה.
