Google Project Zero ჯგუფის მკვლევარებმა აღმოაჩინეს დაუცველობა, რომელიც ერთ-ერთი ყველაზე დიდია iOS პლატფორმის ისტორიაში. მავნე მავნე პროგრამამ გამოიყენა შეცდომები მობილური Safari ბრაუზერში.
Google Project Zero-ს ექსპერტი იან ბირი ყველაფერს ხსნის თავის ბლოგზე. ამჯერად თავდასხმების თავიდან აცილება არავის მოუწია. საკმარისი იყო ინფიცირებული ვებსაიტის მონახულება, რომ დაინფიცირებულიყავი.
საფრთხეების ანალიზის ჯგუფის (TAG) ანალიტიკოსებმა საბოლოოდ აღმოაჩინეს სულ ხუთი სხვადასხვა ხარვეზი, რომლებიც იყო iOS 10-დან iOS 12-მდე. სხვა სიტყვებით რომ ვთქვათ, თავდამსხმელებს შეეძლოთ დაუცველობის გამოყენება მინიმუმ ორი წლის განმავლობაში, რადგან ეს სისტემები ბაზარზე იყო.
მავნე პროგრამამ გამოიყენა ძალიან მარტივი პრინციპი. გვერდის დათვალიერების შემდეგ, ფონზე გაუშვა კოდი, რომელიც ადვილად გადავიდა მოწყობილობაზე. პროგრამის მთავარი მიზანი იყო ფაილების შეგროვება და მდებარეობის მონაცემების გაგზავნა ერთი წუთის ინტერვალით. და რადგან პროგრამამ თავად დააკოპირა მოწყობილობის მეხსიერებაში, ასეთი iMessage-იც კი არ იყო დაცული მისგან.
TAG-მა Project Zero-სთან ერთად აღმოაჩინა სულ თოთხმეტი დაუცველობა უსაფრთხოების ხუთ კრიტიკულ ხარვეზში. აქედან, სრული შვიდი დაკავშირებულია მობილურ Safari-თან iOS-ში, კიდევ ხუთი თავად ოპერაციული სისტემის ბირთვთან და ორმა კი მოახერხა sandboxing-ის გვერდის ავლით. აღმოჩენის დროს, არც ერთი დაუცველობა არ იყო შესწორებული.
ამის შესახებ Project Zero-ს ექსპერტებმა განაცხადეს Apple-ის შეცდომები და მათ შვიდი დღე მისცა წესების მიხედვით გამოქვეყნებამდე. კომპანიას ეცნობა 1 თებერვალს და კომპანიამ შეცდომა გამოასწორა 9 თებერვალს iOS 12.1.4-ში გამოქვეყნებულ განახლებაში.
ამ დაუცველობათა სერია საშიშია იმით, რომ თავდამსხმელებს შეუძლიათ ადვილად გაავრცელონ კოდი დაზარალებული საიტების მეშვეობით. ვინაიდან მოწყობილობის დაინფიცირებისთვის საჭიროა მხოლოდ ვებსაიტის ჩატვირთვა და სკრიპტების ფონზე გაშვება, თითქმის ყველას რისკის ქვეშ იყო.
ყველაფერი ტექნიკურად არის ახსნილი Google Project Zero ჯგუფის ინგლისურ ბლოგზე. პოსტი შეიცავს უამრავ დეტალს და დეტალს. გასაოცარია, თუ როგორ შეუძლია უბრალო ვებ ბრაუზერს თქვენი მოწყობილობის კარიბჭის როლი. მომხმარებელი არაფრის დაყენებას არ აიძულებს.
ამიტომ ჩვენი მოწყობილობების უსაფრთხოება არ არის კარგი, რომ მსუბუქად მივიღოთ.
პეტრ შკუტა 
დევიდ ჰანაკი 
