Как Googles Project Zero напал на всех пользователей iPhone |

Project Zero — это название команды исследователей безопасности Google, которой поручено отслеживать и сообщать об уязвимостях нулевого дня в операционных системах, веб-сайтах и ​​приложениях.

Нулевой день, как и в прошлом, ранее не был раскрыт и, следовательно, не был исправлен.

В четверг, 29 августа 2019 года, Project Zero опубликовал «очень глубокое погружение» в эту цепочку — цепочку 0-дневных уязвимостей, которые, по их словам, используются небольшой коллекцией взломанных веб-сайтов в качестве неизбирательной атаки на пользователей iPhone. ,

Вот что они сказали:

Там не было целевой дискриминации; Простого посещения взломанного сайта было достаточно, чтобы сервер эксплойтов атаковал ваше устройство, и, если оно прошло успешно, установите имплантат мониторинга. По нашим оценкам, эти сайты получают тысячи посетителей в неделю.

Еще 1 февраля 2019 года они дали Apple 7-дневный срок для исправления 14 уязвимостей в 5 цепях эксплойтов, потому что именно так работает PZ, и Apple сделала именно это — патч iOS 12.1.4 был выпущен 7 февраля. 2019.

Итак, пост на прошлой неделе больше не был раскрыт. Это было о глубоком погружении. И это было удивительно. Project Zero подробно описал цепочки эксплойтов, обнаруженные в дикой природе.

За исключением двух критических, критических областей:

  1. Сайты, участвующие в атаках.
  2. Любые другие операционные системы, которые подвергались атакам.

Почему это так важно, так важно просто: факты охватывают охват, но и отсутствие фактов.

Как я написал в Твиттере сразу после появления поста в блоге, если это был крошечный кластер сайтов в отдаленном регионе по сравнению с крупными многонациональными сайтами, такими как Amazon или YouTube, это совершенно другой уровень угрозы.

Потрясающее углубление в сетевую цепочку эксплойтов iOS. Но я не могу найти информацию о том, какие сайты использовались? Если бы они были крошечным кластером в удаленном регионе по сравнению с крупными многонациональными компаниями, это был бы совершенно другой уровень угрозы. Http: //t.co/CZM4SksLMN

— Рене Ритчи (@reneritchie) 30 августа 2019 г.

Аналогично, если бы это была только iOS, это было бы совсем другое повествование, чем если бы оно было нацелено на Android и Windows.

И, да, мы сразу же увидели результаты написания Project Zero с повторным блогом после повторного блога, в котором рассказывалось как история только для iPhone, о которой всем в мире, имеющим iPhone, нужно было беспокоиться, если не говорить о полной панике.

Я знал, что это был только вопрос времени, когда мои родители увидели эту историю на BBC или в каком-то другом распространенном СМИ и были достаточно обеспокоены, чтобы спросить меня об этом.

Конечно, это заняло менее 24 часов.

У меня возникло желание быстро выпустить видео, указав на отсутствующий контекст и сказав, что что-то не пахнет правильно. Но я не хотел добавлять к шуму, поэтому я начал спрашивать, могу ли я найти какой-нибудь сигнал вместо этого.

Лишь в последние пару дней история стала проясняться.

Во-первых, Зак Уиттакер из TechCrunch узнал, что именно Китай использует хакеры iPhone для нацеливания на уйгурских мусульман в регионе Синьцзян.

По словам Уиттакера:

Это часть последних усилий китайского правительства, направленных на подавление мусульманского сообщества меньшинств в новейшей истории. По данным комитета ООН по правам человека, в прошлом году Пекин содержал более миллиона уйгуров в лагерях для интернированных.

Томас Брюстер из Forbes — фактический Forbes, а не горячая путаница, которой занимается сеть разработчиков Forbes, — подтвердил и расширил отчет TechCrunch, добавив, что пользователи Android и Windows также стали мишенью, а не только iPhone и iOS.

По словам Брюстера:

То, что на Android и Windows были нацелены, является признаком того, что взломы были частью широкой двухлетней работы, которая вышла за рамки телефонов Apple и заразила гораздо больше, чем предполагалось.

TechCrunch добавил:

Это говорит о том, что кампания, нацеленная на уйгуров, была гораздо шире, чем первоначально показывал Google.

Yeeeaaaaah.

И это огромная проблема.

Как я и многие другие люди неоднократно говорили, код настолько сложен, что будут ошибки, и будут эксплойты, и все, что можно сделать с ними, — это этическое раскрытие информации исследователями, быстрые исправления компаниями и ответственная отчетность не только СМИ, но все вовлечены.

Project Zero, благодаря тому, что он принадлежит и управляется компанией Google, которая управляет двумя основными программными платформами с ChromeOS и Android, сталкивается с дополнительным препятствием — им нужно изо всех сил сообщать в Google. Явно. Выше упрека, как говорится.

То, что они сделали здесь, было противоположностью этому. Хуже. Они не занижают данные в Google. Они не смогли сообщить в Google.

Вы могли бы пойти так далеко, чтобы назвать это ложью упущения.

И Google, со своей стороны, сделал и ничего не сказал, чтобы решить эту проблему.

TechCrunch:

Представитель Google не будет комментировать, кроме опубликованных исследований.

Forbes:

Ни Microsoft, ни Google не предоставили комментарий на момент публикации. Неясно, знал ли Google или раскрыл, что сайты также предназначались для других операционных систем.

Теперь это зависит от вас, если вы хотите приписать к этому любые зловещие мотивы заговора. Google действительно конкурирует с Apple по операционным системам и телефонам, и обе этой осенью ожидают больших успехов.

Но трудно представить, что Project Zero когда-либо будет частью этого, или Google, в общем, будет достаточно интеграции между командами, чтобы даже координировать что-либо подобное.

Я думаю, что Project Zero состоит из группы ботаников, которые просто хотят написать о крутой цепочке эксплойтов, которую они нашли в дикой природе.

И это круто. iOS однозначно сложно взломать. Этот унес 14 уязвимостей за 5 цепочек эксплойтов.

Поместите вещи в перспективе:

— Это не новые 0 дней. Все они были исправлены в течение долгого времени, следовательно, почему используется 5 цепей.

— Apple на самом деле стремится к безопасности / конфиденциальности. Другие делают бизнес, пренебрегая последним.

— Что, Android более безопасен? * Кашель * CamScanner * Кашель * 冷

— 62657156686f6a75636a4d21506a736699a0f1548b (@Morpheus______) 30 августа 2019 г.

Это захватывающая вещь для разговора. Но, фактически упустив большую часть истории, Project Zero сформировал историю — и они сделали ее неправильной.

iOS ни в коем случае не самая популярная операционная система, но это самый популярный заголовок. И вот что мы получили. Заголовок после полностью искаженного заголовка. История за неполной историей.

Так много внимания, что я думаю, это то, что Project Zero действительно хочет.

Но это не о внимании. Это о репутации.

Project Zero — супергерои, без сомнения. Проверено много раз. Но они должны хотеть быть Лигой Справедливости. Не Мальчики.

Они должны стремиться искоренить эксплойты, а не становиться частью атак социальной инженерии против пользователей iPhone.

И вот что случилось с этой историей. Многие владельцы iPhone были вынуждены бояться сверх того фактического уровня угрозы, который гарантирован. Все потому, что в оригинальном сообщении в блоге отсутствовал контекст, его никогда не должно было не хватать.

Я могу легко оправдать использование 0-дневного режима для законных угроз национальной безопасности с учетом узкого охвата и целевого использования, но то, что было обнаружено нулевым проектом, — это совсем не то, а одна из самых пугающих вещей, которые я видел в своей «карьере» в качестве iOS-0-дня. Исследователь.

— qwertyoruiop (@qwertyoruiopz) 1 сентября 2019 г.

Это также задержало начало гораздо более важного разговора. В то время как люди беспокоились или злорадствовали по поводу безопасности iOS, они не рассматривали существование этих эксплойтов в целом и то, как они используются не только для национальной безопасности, но и для нацеливания на отдельных лиц и сообщества.

встраивать

Сжечь все 0 дней действительно.

Обновление: Volexity, в широком докладе о цифровом разгоне Китая в регионе, добавил это к поверхности атаки:

  • Пользователи мобильных устройств, использующие ОС Android, нацеленные на использование эксплойта с 64-разрядным исполняемым файлом ARM.

  • В арсенал злоумышленника входят приложения Google для получения доступа к электронной почте и спискам контактов учетных записей Gmail через OAuth.

Он не проходит проверку на основе здравого смысла, согласно которой платформы и сервисы, такие популярные, как Google, не будут подвергаться атаке такого типа, что делает отсутствие отчетов Project Zero еще более тревожным.

ВЕКТОР | Рене Ричи

Ссылка на основную публикацию