Hackere laster inn spionprogrammer på fullpatchede iPhones, noe som viser at ingen er trygge

Det er den utbredte oppfatningen at ikke bare er iPhones tryggere for hackere enn Android-telefoner, men at de er helt trygge og uhackselige.

Hvert år på Pwn2Own er denne ideen bevist feil, men disse hackene er vanligvis i laboratoriemiljøer og ikke i naturen.

Det har imidlertid vært en økende økning i politisk motiverte statssponsede hacks, og disse hackerne demonstrerer i økende grad at ingen smarttelefon er immun mot skadelig programvare, og at en viss grad av paranoia er nødvendig for smarttelefonbrukere på alle plattformer.

I en utviklingshistorie fikk et stort antall journalister og aktivister iPhone-ene sine hacket av Pegasus-spionprogrammet, utviklet av israelske hackere NSO Group.

Pegasus leveres i et null-klikk-angrep av en stille iMessage-melding, og når den er på plass, kan den samle inn e-poster, anropsposter, innlegg på sosiale medier, brukerpassord, kontaktlister, bilder, videoer, lydopptak og nettleserhistorikk. Den kan til og med aktivere kameraer eller mikrofoner, og lytte til anrop og talemeldinger. Den kan også samle plasseringslogger over hvor en bruker har vært og også bestemme hvor denne brukeren er nå, sammen med data som indikerer om personen står stille eller, hvis han beveger seg, i hvilken retning.

NSO Group kan ha siktet seg mot 50,000 XNUMX mennesker, etter en liste frigjort fra selskapet. Hacket er effektivt selv mot de nyeste iPhone-ene, med hackere som tilsynelatende kan omgå Apples siste sikkerhetsoppdateringer i løpet av en årrekke, noe som utfordrer selskapets rykte for sikkerhet og personvern.

En undersøkelse utført av Amnestys sikkerhetslaboratorium av 67 smarttelefoner fant at 23/34 iPhones ble infisert, mens bare 3/15 Android-enheter ble infisert (selv om bevis kanskje bedre skjult på disse enhetene).

Ivan Krsti, leder for Apple Security Engineering and Architecture, forsvarte selskapets sikkerhetsarbeid.

"Apple fordømmer utvetydig nettangrep mot journalister, menneskerettighetsaktivister og andre som ønsker å gjøre verden til et bedre sted. I over et tiår har Apple ledet industrien innen sikkerhetsinnovasjon, og som et resultat er sikkerhetsforskere enige om at iPhone er den sikreste og sikreste mobilenheten for forbrukere på markedet, sa han i en uttalelse. "Angrep som de beskrevet er svært sofistikerte, koster millioner av dollar å utvikle, har ofte kort holdbarhet og brukes til å målrette mot spesifikke individer. Selv om det betyr at de ikke er en trussel mot det overveldende flertallet av brukerne våre, fortsetter vi å jobbe utrettelig for å forsvare alle kundene våre, og vi legger stadig til ny beskyttelse for enhetene og dataene deres.»

Rapporter om hacking til iPhones har imidlertid vokst de siste årene ettersom sikkerhetsforskere har oppdaget bevis på at angripere hadde funnet sårbarheter i så mye brukte iPhone-apper som iMessage, Apple Music, Apple Photos, FaceTime og Safari-nettleseren, med iMessage som spilte en rolle i 13 av de 23 vellykkede infiltrasjonene av iPhones.

"De kan ikke gjøre iMessage trygt," sa Matthew Green, professor i sikkerhet og kryptologi ved Johns Hopkins University. "Jeg sier ikke at det ikke kan fikses, men det er ganske ille."

"Din iPhone, og en milliard andre Apple-enheter ut av esken, kjører automatisk kjent usikker programvare for å forhåndsvise iMessages, enten du stoler på avsenderen eller ikke," sa sikkerhetsforsker Bill Marczak, en stipendiat ved Citizen Lab, en forskning institutt basert ved University of Torontos Munk School of Global Affairs & Public Policy. "Enhver Computer Security 101-student kunne oppdage feilen her."

Apple sier at det sterkt begrenser koden som en iMessage kan kjøre på en enhet, og at den har beskyttelse mot skadelig programvare som kommer inn på denne måten. Andre meldingsapper ber om godkjenning før de viser meldinger fra fremmede, men siden iMessage erstatter SMS, som er en åpen protokoll, er dette upraktisk. Apple ville ikke kommentere å begrense meldinger fra avsendere som ikke er i en persons adressebok.

Noen sikkerhetsforskere har sagt at Apples sandkasse faktisk gjør iPhones mer usikre, siden det er umulig for tredjeparts malware-skanningsapper å skanne iPhones fullstendig. Det som imidlertid helt klart er sant, er at virkeligheten har bevist at til tross for deres markedsføring, har Apple hovedsakelig vært flinke til å tilby en falsk følelse av sikkerhet.

av The Washington Post